open search
close
Datenschutz

Alltäglicher Verstoß des Arbeitgebers gegen Datenschutzrecht – und was kostet‘s?

Print Friendly, PDF & Email
Kosten Datenschutz

Wenn so mancher Arbeitgeber wüsste, wie häufig er gegen die Vorgaben des Datenschutzrechts verstößt – und wenn die Datenschutzbehörde hiervon erst Wind bekäme… und der Betriebsrat… oder so mancher Arbeitnehmer… Dann könnte es unangenehm werden für den Arbeitgeber. Arbeitnehmerdatenschutz ist nicht zuletzt mit Blick auf die neue EU-Datenschutz-Grundverordnung (EU-DSGVO), die im Mai 2018 in Kraft tritt, in aller Munde. Dabei zeigt die Praxis, dass Verstöße von Arbeitgebern immer häufiger teure Folgen haben, die es zu vermeiden gilt.

Datenschutz interessiert mich (nicht)

Datenschutzrecht kann für Arbeitgeber ziemlich anstrengend sein: immer neue Gesetze bei stetiger Digitalisierung der Arbeitswelt – und dann kommen auch noch Betriebsräte um die Ecke, die mit erhobenem Zeigefinger Datenschutz einfordern. „Passt schon irgendwie“ ist da nicht (mehr) die richtige Antwort.

Vielmehr müssen sich Arbeitgeber den Herausforderungen des Datenschutzes stellen und sich diesbezüglich ein klares Bild verschaffen. Dabei ist insbesondere relevant:

  • Welche Verstöße passieren?
  • Welche Konsequenzen drohen?
  • Wie kann man Verstößen vorbeugen?
  • Wie reagiert man, wenn der Verstoß bereits verfolgt wird?

Was macht ein Personaler, wenn eine Bewerbung auf seinem Tisch liegt? Richtig, er googelt den Bewerber. Hierbei dürfte er nicht selten auf interessante Ergebnisse stoßen, auch aus dem Privatbereich des Bewerbers. Ein „brisantes“ Facebook-Posting zu politischen Themen, ein „merkwürdiger“ Tweet zur religiösen Einstellung oder ein „lustiges“ Instagram-Foto zum Partyverhalten können da aus Sicht des Arbeitgebers ganz aufschlussreich sein.

Doch der Verstoß gegen §§ 4, 32 Bundesdatenschutzgesetz (BDSG) ist dann möglicherweise bereits passiert. Nach dem BDSG dürfen Arbeitgeber ohne Einwilligung des Bewerbers allenfalls solche Informationen aus dem Netz ziehen, die einen unmittelbaren Bezug zum (potenziellen) Arbeitsverhältnis aufweisen. Das ist bei Einträgen, die dem privaten Bereich des Bewerbers zuzuordnen sind, meist eben nicht der Fall.

Kommt der Arbeitgeber im Vorstellungsgespräch nun auf seine Internetrecherche zu sprechen und gibt dadurch zu erkennen, dass er den Bewerber gegoogelt hat, tritt der Datenschutzrechtsverstoß offen zu Tage – der später abgelehnte und enttäuschte Bewerber könnte Schadensersatz fordern.

Vorsicht mit dem Googeln

Auch bei der vorhandenen Belegschaft sollte der Arbeitgeber das Googeln lassen. Wenn er etwa Facebook-Screenshots ausdruckt und zur Personalakte nimmt, muss er den Arbeitnehmer nach § 33 Abs. 1 Satz 1 BDSG zusätzlich darüber informieren. Da der Arbeitnehmer nach § 83 Abs. 1 S. 1 Betriebsverfassungsgesetz (BetrVG) ein Einsichtsrecht in die Personalakte hat, könnte eine Missachtung dieser Vorgabe leicht herauskommen. In späteren Kündigungsrechtsstreitigkeiten hält der Arbeitnehmer dem Arbeitgeber dann gerne einmal den Datenschutzrechtsverstoß vor.

Die „Datenschutzfalle“ lauert überall

Aber was heißt schon „zur Personalakte nehmen“? Immer häufiger werden Akten und Dokumente vor allem elektronisch gespeichert. Hierbei werden zunehmend Cloudsysteme von Drittanbietern verwendet. Diese Speicherung in Cloudsystemen stellt meist eine Auftragsdatenverwaltung im Sinne des BDSG dar. Das hat zur Folge, dass nach § 11 BDSG der Arbeitgeber den Anbieter der Speichersysteme sorgfältig auswählen sowie regelmäßig überwachen muss. Zudem muss er das Auftragsverhältnis detailliert schriftlich regeln. Und bei Drittanbietern aus dem Nicht-EU-Ausland sind die zu beachtenden Anforderungen nicht erst seit dem sog. Safe-Harbor-Urteil des EuGH (Urteil vom 06.10.2015, Az.: C-362/14) noch höher.

Was droht bei Verstößen gegen Datenschutzrecht?

Nach § 43 Abs. 3 BDSG können Datenschutzbehörden Bußgelder in einer Höhe von bis zu 300.000 Euro pro Verstoß und im Einzelfall auch darüber hinaus verhängen. Zur Kasse können gebeten werden sowohl der handelnde Mitarbeiter/Personaler selbst als auch – in Verbindung mit dem Ordnungswidrigkeitengesetz (OWiG) – das Unternehmen. Geschäftsführer und Vorstände werden möglicherweise durch die Unternehmen in Regress genommen, wenn sie die Datenschutz-Compliance nicht sorgsam organisiert haben.

Nach der neuen EU-Datenschutz-Grundverordnung drohen noch viel heftigere Konsequenzen: Gestaffelte Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres können bei Verstößen verhängt werden.

Wird das denn auch verfolgt?

In der Vergangenheit waren einige Landesdatenschutzbehörden eher lax bei der Verfolgung von Datenschutzrechtsverstößen durch Unternehmen. Öffentlichkeitswirksam wurden eher großen Konzernen wie Lidl oder der Deutschen Bahn Bußgelder auferlegt, die gerne mal eine Million Euro erreichten.

Allerdings zeichnet sich eine eindeutige Tendenz zur stärkeren Verfolgung auch mittelständischer Unternehmen ab. So haben jüngst mittlerweile zehn Landesdatenschutzbehörden eine sogenannte „Prüfaktion“ eingeleitet und Fragebögen an Unternehmen verschickt (mehr zu diesem Thema finden Sie in dem Beitrag von Dr. Till Hoffmann-Remy: „Compliance beim Datentransfer: Zur ‚Fragenbogenaktion’ der Datenschutzbehörden“). Diese Entwicklung zur stärkeren Verfolgung wird ganz sicher im Zusammenhang mit dem Inkrafttreten der EU-Datenschutz-Grundverordnung weiter zunehmen. Denn dann wird die EU-Kommission den nationalen Verfolgungsbehörden genau auf die Finger gucken und auf eine konsequente Verfolgung von Verstößen drängen.

Verstöße entlarven und verhindern!

Unternehmensverantwortliche sollten vor dem Hintergrund der dargestellten Konsequenzen Datenschutzrechtsverstößen gezielt vorbeugen. Eine Compliance-Untersuchung nach folgendem 3-Schritt-Muster empfiehlt sich:

  • 1. Schritt (Analyse): Welche Datenschutzrechtsverstöße werden derzeit begangen?
  • 2. Schritt (Entwicklung): Welche alternativen Vorgehensweisen, die im Einklang mit Datenschutzrecht stehen, können eingeführt werden?
  • 3. Schritt (Umsetzung): Information und Schulung verantwortlicher Mitarbeiter zu alternativen Vorgehensweisen

Bei allen Schritten sollten bereits jetzt die Vorgaben der neuen EU-Datenschutz-Grundverordnung und des noch im Entwurfsstadium befindlichen nationalen Anpassungs- und Umsetzungsgesetzes mit einbezogen werden.

Wenn das Kind bereits in den Brunnen gefallen ist…

Bei der Ahndung bereits geschehener Verstöße sollte der Arbeitgeber behutsam vorgehen. So ist insbesondere die Kommunikation mit den Datenschutzbehörden von großer Bedeutung und im Einzelfall zu beurteilen. Hierbei kommt es auch auf vermeintliche Kleinigkeiten an, etwa wer ruft wann welchen Mitarbeiter bei der Behörde an.

Soweit das Unternehmen bereits Maßnahmen arbeitsrechtlicher Datenschutz-Compliance geplant und vielleicht sogar umgesetzt hat, kann dies bei der Argumentation gegenüber Datenschutzbehörden helfen. Denn das zeigt, dass man die Thematik ernst genommen hat. Das dürfte im Übrigen auch dem Image des Unternehmens zuträglich sein …

Mehr zum Thema Datenschutz und Recruiting finden Sie in dem Beitrag von Dr. Till Hoffmann-Remy: „Recruiting 4.0: Datenschutzrisiko und Diskriminierungsfalle?“

Dr. Jan Heuer

Rechts­an­walt
Fachanwalt für Arbeitsrecht
Principal Counsel
Jan Heuer berät deutsche und internationale Unternehmen sowie öffentlich-rechtliche Institutionen umfassend in allen Fragen des Arbeitsrechts. Einen Schwerpunkt bilden die Begleitung von Reorganisationen und Restrukturierungen sowie die Vertretung in Arbeitsgerichtsprozessen. Besondere Expertise hat er außerdem im Datenschutzrecht (z. B. DS-GVO-Checks, Abschluss von IT-Betriebsvereinbarungen) und im Bereich arbeitsrechtlicher Compliance (z. B. interne Untersuchungen bei Fehlverhalten von Mitarbeitern, Vermeidung von Scheinselbständigkeit und illegaler Arbeitnehmerüberlassung, Einhaltung Betriebsverfassungsrecht). Jan Heuer ist bei KLIEMT.Arbeitsrecht verantwortlich in den Fokusgruppen "Whistleblowing und interne Untersuchungen" sowie "Digitalisierung und Mitbestimmung".
Verwandte Beiträge
Datenschutz Individualarbeitsrecht Neueste Beiträge

„Auskunft, sonst Schadensersatz!“ – Handlungsoptionen für Arbeitgeber bei Auskunftsansprüchen

Datenschutzrechtliche Auskunftsansprüche gegen den Arbeitgeber gehören für Arbeitnehmer(-vertreter) vor allem in Kündigungsstreitigkeiten zum Regelrepertoire. Mittlerweile wird auch vermehrt über arbeitnehmerseitige Schadensersatzansprüche aufgrund nicht oder nicht vollständig erteilter Auskünfte gestritten. Die Rechtsprechung befindet sich noch im Fluss, sodass sich für viele Arbeitgeber Unklarheiten darüber ergeben, wie mit fragwürdigen Auskunftsbegehren umzugehen ist. Dieser Beitrag soll einen Überblick liefern und Handlungsoptionen aufzeigen. Der datenschutzrechtliche Auskunftsanspruch ist mittlerweile ein…
Betriebsrat Kollektivarbeitsrecht Neueste Beiträge

Kosten der Einigungsstelle – Fragen aus der Beratungspraxis

Die Einigungsstelle ist ein wichtiges Instrument zur Konfliktlösung bei Auseinandersetzungen zwischen Arbeitgeber und Betriebsrat. Sie bietet eine neutrale Plattform, um Meinungsverschiedenheiten beizulegen und gemeinsam Lösungen zu entwickeln. Doch Einigungsstellen sind zeit- und kostenintensiv. Die durch Einigungsstellen verursachten finanziellen Belastungen führen nicht selten zu Auseinandersetzungen zwischen den Betriebsparteien. Nachfolgend drei Fragen aus der Beratungspraxis: Welche Kosten fallen an? Nach § 76 a Abs. 1 BetrVG ist…
Compliance Datenschutz Individualarbeitsrecht Kollektivarbeitsrecht Neueste Beiträge Restrukturierung Top-Management Vergütung

Top 6 des Jahres 2023 aus arbeitsrechtlicher Sicht

Das Jahr 2023 ist nun beinahe wieder vorbei. Zur Anheizung der weihnachtlichen Vorfreude lesen Sie hier unseren Jahresrückblick auf eine kleine Auswahl an besonders beachtenswerten und für das Arbeitsrecht relevanten Urteilen – u.a. zu den Themen Equal Pay, Beweisverwertungsverbote, Geschäftsführerhaftung, Outsourcing und Strafrecht. Wie in jedem Jahr gab es auch in 2023 wieder einige Gerichtsentscheidungen, die in einem arbeitsrechtlichen Jahresrückblick nicht fehlen dürfen. Unsere diesjährigen…
Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

 

Die Abmeldung ist jederzeit möglich.