open search
close
Datenschutz

Alltäglicher Verstoß des Arbeitgebers gegen Datenschutzrecht – und was kostet‘s?

Print Friendly, PDF & Email
Kosten Datenschutz

Wenn so mancher Arbeitgeber wüsste, wie häufig er gegen die Vorgaben des Datenschutzrechts verstößt – und wenn die Datenschutzbehörde hiervon erst Wind bekäme… und der Betriebsrat… oder so mancher Arbeitnehmer… Dann könnte es unangenehm werden für den Arbeitgeber. Arbeitnehmerdatenschutz ist nicht zuletzt mit Blick auf die neue EU-Datenschutz-Grundverordnung (EU-DSGVO), die im Mai 2018 in Kraft tritt, in aller Munde. Dabei zeigt die Praxis, dass Verstöße von Arbeitgebern immer häufiger teure Folgen haben, die es zu vermeiden gilt.

Datenschutz interessiert mich (nicht)

Datenschutzrecht kann für Arbeitgeber ziemlich anstrengend sein: immer neue Gesetze bei stetiger Digitalisierung der Arbeitswelt – und dann kommen auch noch Betriebsräte um die Ecke, die mit erhobenem Zeigefinger Datenschutz einfordern. „Passt schon irgendwie“ ist da nicht (mehr) die richtige Antwort.

Vielmehr müssen sich Arbeitgeber den Herausforderungen des Datenschutzes stellen und sich diesbezüglich ein klares Bild verschaffen. Dabei ist insbesondere relevant:

  • Welche Verstöße passieren?
  • Welche Konsequenzen drohen?
  • Wie kann man Verstößen vorbeugen?
  • Wie reagiert man, wenn der Verstoß bereits verfolgt wird?

Was macht ein Personaler, wenn eine Bewerbung auf seinem Tisch liegt? Richtig, er googelt den Bewerber. Hierbei dürfte er nicht selten auf interessante Ergebnisse stoßen, auch aus dem Privatbereich des Bewerbers. Ein „brisantes“ Facebook-Posting zu politischen Themen, ein „merkwürdiger“ Tweet zur religiösen Einstellung oder ein „lustiges“ Instagram-Foto zum Partyverhalten können da aus Sicht des Arbeitgebers ganz aufschlussreich sein.

Doch der Verstoß gegen §§ 4, 32 Bundesdatenschutzgesetz (BDSG) ist dann möglicherweise bereits passiert. Nach dem BDSG dürfen Arbeitgeber ohne Einwilligung des Bewerbers allenfalls solche Informationen aus dem Netz ziehen, die einen unmittelbaren Bezug zum (potenziellen) Arbeitsverhältnis aufweisen. Das ist bei Einträgen, die dem privaten Bereich des Bewerbers zuzuordnen sind, meist eben nicht der Fall.

Kommt der Arbeitgeber im Vorstellungsgespräch nun auf seine Internetrecherche zu sprechen und gibt dadurch zu erkennen, dass er den Bewerber gegoogelt hat, tritt der Datenschutzrechtsverstoß offen zu Tage – der später abgelehnte und enttäuschte Bewerber könnte Schadensersatz fordern.

Vorsicht mit dem Googeln

Auch bei der vorhandenen Belegschaft sollte der Arbeitgeber das Googeln lassen. Wenn er etwa Facebook-Screenshots ausdruckt und zur Personalakte nimmt, muss er den Arbeitnehmer nach § 33 Abs. 1 Satz 1 BDSG zusätzlich darüber informieren. Da der Arbeitnehmer nach § 83 Abs. 1 S. 1 Betriebsverfassungsgesetz (BetrVG) ein Einsichtsrecht in die Personalakte hat, könnte eine Missachtung dieser Vorgabe leicht herauskommen. In späteren Kündigungsrechtsstreitigkeiten hält der Arbeitnehmer dem Arbeitgeber dann gerne einmal den Datenschutzrechtsverstoß vor.

Die „Datenschutzfalle“ lauert überall

Aber was heißt schon „zur Personalakte nehmen“? Immer häufiger werden Akten und Dokumente vor allem elektronisch gespeichert. Hierbei werden zunehmend Cloudsysteme von Drittanbietern verwendet. Diese Speicherung in Cloudsystemen stellt meist eine Auftragsdatenverwaltung im Sinne des BDSG dar. Das hat zur Folge, dass nach § 11 BDSG der Arbeitgeber den Anbieter der Speichersysteme sorgfältig auswählen sowie regelmäßig überwachen muss. Zudem muss er das Auftragsverhältnis detailliert schriftlich regeln. Und bei Drittanbietern aus dem Nicht-EU-Ausland sind die zu beachtenden Anforderungen nicht erst seit dem sog. Safe-Harbor-Urteil des EuGH (Urteil vom 06.10.2015, Az.: C-362/14) noch höher.

Was droht bei Verstößen gegen Datenschutzrecht?

Nach § 43 Abs. 3 BDSG können Datenschutzbehörden Bußgelder in einer Höhe von bis zu 300.000 Euro pro Verstoß und im Einzelfall auch darüber hinaus verhängen. Zur Kasse können gebeten werden sowohl der handelnde Mitarbeiter/Personaler selbst als auch – in Verbindung mit dem Ordnungswidrigkeitengesetz (OWiG) – das Unternehmen. Geschäftsführer und Vorstände werden möglicherweise durch die Unternehmen in Regress genommen, wenn sie die Datenschutz-Compliance nicht sorgsam organisiert haben.

Nach der neuen EU-Datenschutz-Grundverordnung drohen noch viel heftigere Konsequenzen: Gestaffelte Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres können bei Verstößen verhängt werden.

Wird das denn auch verfolgt?

In der Vergangenheit waren einige Landesdatenschutzbehörden eher lax bei der Verfolgung von Datenschutzrechtsverstößen durch Unternehmen. Öffentlichkeitswirksam wurden eher großen Konzernen wie Lidl oder der Deutschen Bahn Bußgelder auferlegt, die gerne mal eine Million Euro erreichten.

Allerdings zeichnet sich eine eindeutige Tendenz zur stärkeren Verfolgung auch mittelständischer Unternehmen ab. So haben jüngst mittlerweile zehn Landesdatenschutzbehörden eine sogenannte „Prüfaktion“ eingeleitet und Fragebögen an Unternehmen verschickt (mehr zu diesem Thema finden Sie in dem Beitrag von Dr. Till Hoffmann-Remy: „Compliance beim Datentransfer: Zur ‚Fragenbogenaktion’ der Datenschutzbehörden“). Diese Entwicklung zur stärkeren Verfolgung wird ganz sicher im Zusammenhang mit dem Inkrafttreten der EU-Datenschutz-Grundverordnung weiter zunehmen. Denn dann wird die EU-Kommission den nationalen Verfolgungsbehörden genau auf die Finger gucken und auf eine konsequente Verfolgung von Verstößen drängen.

Verstöße entlarven und verhindern!

Unternehmensverantwortliche sollten vor dem Hintergrund der dargestellten Konsequenzen Datenschutzrechtsverstößen gezielt vorbeugen. Eine Compliance-Untersuchung nach folgendem 3-Schritt-Muster empfiehlt sich:

  • 1. Schritt (Analyse): Welche Datenschutzrechtsverstöße werden derzeit begangen?
  • 2. Schritt (Entwicklung): Welche alternativen Vorgehensweisen, die im Einklang mit Datenschutzrecht stehen, können eingeführt werden?
  • 3. Schritt (Umsetzung): Information und Schulung verantwortlicher Mitarbeiter zu alternativen Vorgehensweisen

Bei allen Schritten sollten bereits jetzt die Vorgaben der neuen EU-Datenschutz-Grundverordnung und des noch im Entwurfsstadium befindlichen nationalen Anpassungs- und Umsetzungsgesetzes mit einbezogen werden.

Wenn das Kind bereits in den Brunnen gefallen ist…

Bei der Ahndung bereits geschehener Verstöße sollte der Arbeitgeber behutsam vorgehen. So ist insbesondere die Kommunikation mit den Datenschutzbehörden von großer Bedeutung und im Einzelfall zu beurteilen. Hierbei kommt es auch auf vermeintliche Kleinigkeiten an, etwa wer ruft wann welchen Mitarbeiter bei der Behörde an.

Soweit das Unternehmen bereits Maßnahmen arbeitsrechtlicher Datenschutz-Compliance geplant und vielleicht sogar umgesetzt hat, kann dies bei der Argumentation gegenüber Datenschutzbehörden helfen. Denn das zeigt, dass man die Thematik ernst genommen hat. Das dürfte im Übrigen auch dem Image des Unternehmens zuträglich sein …

Mehr zum Thema Datenschutz und Recruiting finden Sie in dem Beitrag von Dr. Till Hoffmann-Remy: „Recruiting 4.0: Datenschutzrisiko und Diskriminierungsfalle?“

Dr. Jan Heuer

Rechts­an­walt
Fachanwalt für Arbeitsrecht
Principal Counsel
Jan Heuer berät deutsche und internationale Unternehmen sowie öffentlich-rechtliche Institutionen umfassend in allen Fragen des Arbeitsrechts. Einen Schwerpunkt bilden die Begleitung von Reorganisationen und Restrukturierungen sowie die Vertretung in Arbeitsgerichtsprozessen. Besondere Expertise hat er außerdem im Datenschutzrecht (z. B. DS-GVO-Checks, Abschluss von IT-Betriebsvereinbarungen) und im Bereich arbeitsrechtlicher Compliance (z. B. interne Untersuchungen bei Fehlverhalten von Mitarbeitern, Vermeidung von Scheinselbständigkeit und illegaler Arbeitnehmerüberlassung, Einhaltung Betriebsverfassungsrecht).
Verwandte Beiträge
Compliance Neueste Beiträge Whistleblowing & Investigations

Internal Investigations: Kostenersatz bei Compliance-Untersuchungen

Sofern gegen einen Arbeitnehmer der Verdacht besteht, gegen Compliance-Vorschriften verstoßen oder eine erhebliche Verfehlung begangen zu haben, sind vom Arbeitgeber entsprechende unternehmensinterne Untersuchungen einzuleiten. Diese sog. Internal Investigations gewinnen in der Praxis immer größere Bedeutung, sie haben jedoch auch ihren Preis. Da viele Unternehmen keine Erfahrungen mit solchen Situationen haben, werden häufig externe Spezialisten, wie etwa Detektive oder spezialisierte Anwaltskanzleien hinzugezogen, um die Verdachtsmomente umfassend…
Datenschutz Neueste Beiträge

Kann der Auskunftsanspruch nach Art. 15 DS-GVO rechtsmissbräuchlich sein? Ja, sagt das LAG Sachsen!

Das LAG Sachsen hat entschieden, dass ein Auskunftsanspruch nach Art. 15 Abs. 1 DS-GVO ausscheidet, wenn das Auskunftsbegehren rechtsmissbräuchlich ist. Anlass der Entscheidung war, dass ein Arbeitnehmer während eines laufenden Rechtsstreits gegen den Arbeitgeber Auskunftsansprüche geltend machte. Diese Informationen wollte der Arbeitnehmer gegen den Arbeitgeber verwenden, um seine behaupteten Überstunden beweisen zu können. Das LAG urteilte, dass dieser Zweck nicht von der DS-GVO gedeckt und…
Datenschutz ESG Neueste Beiträge Video

Beschäftigtendaten – darf man sie zum Beispiel für ESG-Befragungen einfach nutzen? (Video)

Im Laufe eines Arbeitslebens sammeln Arbeitgeber von ihren Mitarbeitenden viele Daten, beginnend bei der Bewerbung über die Einstellung und auch während des Beschäftigungsverhältnisses. Teilweise werden diese Informationen auch durch Umfragen aktiv gesammelt – derzeit sehr aktuell etwa beim Thema ESG. Dabei stellt sich die Frage, ob diese einmalig für einen bestimmten Zweck gesammelten Daten auch für andere Zwecke als den ursprünglichen genutzt werden können, etwa…
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert