open search
close
Datenschutz

Alltäglicher Verstoß des Arbeitgebers gegen Datenschutzrecht – und was kostet‘s?

Print Friendly, PDF & Email
Kosten Datenschutz

Wenn so mancher Arbeitgeber wüsste, wie häufig er gegen die Vorgaben des Datenschutzrechts verstößt – und wenn die Datenschutzbehörde hiervon erst Wind bekäme… und der Betriebsrat… oder so mancher Arbeitnehmer… Dann könnte es unangenehm werden für den Arbeitgeber. Arbeitnehmerdatenschutz ist nicht zuletzt mit Blick auf die neue EU-Datenschutz-Grundverordnung (EU-DSGVO), die im Mai 2018 in Kraft tritt, in aller Munde. Dabei zeigt die Praxis, dass Verstöße von Arbeitgebern immer häufiger teure Folgen haben, die es zu vermeiden gilt.

Datenschutz interessiert mich (nicht)

Datenschutzrecht kann für Arbeitgeber ziemlich anstrengend sein: immer neue Gesetze bei stetiger Digitalisierung der Arbeitswelt – und dann kommen auch noch Betriebsräte um die Ecke, die mit erhobenem Zeigefinger Datenschutz einfordern. „Passt schon irgendwie“ ist da nicht (mehr) die richtige Antwort.

Vielmehr müssen sich Arbeitgeber den Herausforderungen des Datenschutzes stellen und sich diesbezüglich ein klares Bild verschaffen. Dabei ist insbesondere relevant:

  • Welche Verstöße passieren?
  • Welche Konsequenzen drohen?
  • Wie kann man Verstößen vorbeugen?
  • Wie reagiert man, wenn der Verstoß bereits verfolgt wird?

Was macht ein Personaler, wenn eine Bewerbung auf seinem Tisch liegt? Richtig, er googelt den Bewerber. Hierbei dürfte er nicht selten auf interessante Ergebnisse stoßen, auch aus dem Privatbereich des Bewerbers. Ein „brisantes“ Facebook-Posting zu politischen Themen, ein „merkwürdiger“ Tweet zur religiösen Einstellung oder ein „lustiges“ Instagram-Foto zum Partyverhalten können da aus Sicht des Arbeitgebers ganz aufschlussreich sein.

Doch der Verstoß gegen §§ 4, 32 Bundesdatenschutzgesetz (BDSG) ist dann möglicherweise bereits passiert. Nach dem BDSG dürfen Arbeitgeber ohne Einwilligung des Bewerbers allenfalls solche Informationen aus dem Netz ziehen, die einen unmittelbaren Bezug zum (potenziellen) Arbeitsverhältnis aufweisen. Das ist bei Einträgen, die dem privaten Bereich des Bewerbers zuzuordnen sind, meist eben nicht der Fall.

Kommt der Arbeitgeber im Vorstellungsgespräch nun auf seine Internetrecherche zu sprechen und gibt dadurch zu erkennen, dass er den Bewerber gegoogelt hat, tritt der Datenschutzrechtsverstoß offen zu Tage – der später abgelehnte und enttäuschte Bewerber könnte Schadensersatz fordern.

Vorsicht mit dem Googeln

Auch bei der vorhandenen Belegschaft sollte der Arbeitgeber das Googeln lassen. Wenn er etwa Facebook-Screenshots ausdruckt und zur Personalakte nimmt, muss er den Arbeitnehmer nach § 33 Abs. 1 Satz 1 BDSG zusätzlich darüber informieren. Da der Arbeitnehmer nach § 83 Abs. 1 S. 1 Betriebsverfassungsgesetz (BetrVG) ein Einsichtsrecht in die Personalakte hat, könnte eine Missachtung dieser Vorgabe leicht herauskommen. In späteren Kündigungsrechtsstreitigkeiten hält der Arbeitnehmer dem Arbeitgeber dann gerne einmal den Datenschutzrechtsverstoß vor.

Die „Datenschutzfalle“ lauert überall

Aber was heißt schon „zur Personalakte nehmen“? Immer häufiger werden Akten und Dokumente vor allem elektronisch gespeichert. Hierbei werden zunehmend Cloudsysteme von Drittanbietern verwendet. Diese Speicherung in Cloudsystemen stellt meist eine Auftragsdatenverwaltung im Sinne des BDSG dar. Das hat zur Folge, dass nach § 11 BDSG der Arbeitgeber den Anbieter der Speichersysteme sorgfältig auswählen sowie regelmäßig überwachen muss. Zudem muss er das Auftragsverhältnis detailliert schriftlich regeln. Und bei Drittanbietern aus dem Nicht-EU-Ausland sind die zu beachtenden Anforderungen nicht erst seit dem sog. Safe-Harbor-Urteil des EuGH (Urteil vom 06.10.2015, Az.: C-362/14) noch höher.

Was droht bei Verstößen gegen Datenschutzrecht?

Nach § 43 Abs. 3 BDSG können Datenschutzbehörden Bußgelder in einer Höhe von bis zu 300.000 Euro pro Verstoß und im Einzelfall auch darüber hinaus verhängen. Zur Kasse können gebeten werden sowohl der handelnde Mitarbeiter/Personaler selbst als auch – in Verbindung mit dem Ordnungswidrigkeitengesetz (OWiG) – das Unternehmen. Geschäftsführer und Vorstände werden möglicherweise durch die Unternehmen in Regress genommen, wenn sie die Datenschutz-Compliance nicht sorgsam organisiert haben.

Nach der neuen EU-Datenschutz-Grundverordnung drohen noch viel heftigere Konsequenzen: Gestaffelte Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres können bei Verstößen verhängt werden.

Wird das denn auch verfolgt?

In der Vergangenheit waren einige Landesdatenschutzbehörden eher lax bei der Verfolgung von Datenschutzrechtsverstößen durch Unternehmen. Öffentlichkeitswirksam wurden eher großen Konzernen wie Lidl oder der Deutschen Bahn Bußgelder auferlegt, die gerne mal eine Million Euro erreichten.

Allerdings zeichnet sich eine eindeutige Tendenz zur stärkeren Verfolgung auch mittelständischer Unternehmen ab. So haben jüngst mittlerweile zehn Landesdatenschutzbehörden eine sogenannte „Prüfaktion“ eingeleitet und Fragebögen an Unternehmen verschickt (mehr zu diesem Thema finden Sie in dem Beitrag von Dr. Till Hoffmann-Remy: „Compliance beim Datentransfer: Zur ‚Fragenbogenaktion’ der Datenschutzbehörden“). Diese Entwicklung zur stärkeren Verfolgung wird ganz sicher im Zusammenhang mit dem Inkrafttreten der EU-Datenschutz-Grundverordnung weiter zunehmen. Denn dann wird die EU-Kommission den nationalen Verfolgungsbehörden genau auf die Finger gucken und auf eine konsequente Verfolgung von Verstößen drängen.

Verstöße entlarven und verhindern!

Unternehmensverantwortliche sollten vor dem Hintergrund der dargestellten Konsequenzen Datenschutzrechtsverstößen gezielt vorbeugen. Eine Compliance-Untersuchung nach folgendem 3-Schritt-Muster empfiehlt sich:

  • 1. Schritt (Analyse): Welche Datenschutzrechtsverstöße werden derzeit begangen?
  • 2. Schritt (Entwicklung): Welche alternativen Vorgehensweisen, die im Einklang mit Datenschutzrecht stehen, können eingeführt werden?
  • 3. Schritt (Umsetzung): Information und Schulung verantwortlicher Mitarbeiter zu alternativen Vorgehensweisen

Bei allen Schritten sollten bereits jetzt die Vorgaben der neuen EU-Datenschutz-Grundverordnung und des noch im Entwurfsstadium befindlichen nationalen Anpassungs- und Umsetzungsgesetzes mit einbezogen werden.

Wenn das Kind bereits in den Brunnen gefallen ist…

Bei der Ahndung bereits geschehener Verstöße sollte der Arbeitgeber behutsam vorgehen. So ist insbesondere die Kommunikation mit den Datenschutzbehörden von großer Bedeutung und im Einzelfall zu beurteilen. Hierbei kommt es auch auf vermeintliche Kleinigkeiten an, etwa wer ruft wann welchen Mitarbeiter bei der Behörde an.

Soweit das Unternehmen bereits Maßnahmen arbeitsrechtlicher Datenschutz-Compliance geplant und vielleicht sogar umgesetzt hat, kann dies bei der Argumentation gegenüber Datenschutzbehörden helfen. Denn das zeigt, dass man die Thematik ernst genommen hat. Das dürfte im Übrigen auch dem Image des Unternehmens zuträglich sein …

Mehr zum Thema Datenschutz und Recruiting finden Sie in dem Beitrag von Dr. Till Hoffmann-Remy: „Recruiting 4.0: Datenschutzrisiko und Diskriminierungsfalle?“

Dr. Jan Heuer

Rechts­an­walt
Fachanwalt für Arbeitsrecht
Principal Counsel
Jan Heuer berät deutsche und internationale Unternehmen sowie öffentlich-rechtliche Institutionen umfassend in allen Fragen des Arbeitsrechts. Einen Schwerpunkt bilden die Begleitung von Reorganisationen und Restrukturierungen sowie die Vertretung in Arbeitsgerichtsprozessen. Besondere Expertise hat er außerdem im Datenschutzrecht (z. B. DS-GVO-Checks, Abschluss von IT-Betriebsvereinbarungen) und im Bereich arbeitsrechtlicher Compliance (z. B. interne Untersuchungen bei Fehlverhalten von Mitarbeitern, Vermeidung von Scheinselbständigkeit und illegaler Arbeitnehmerüberlassung, Einhaltung Betriebsverfassungsrecht). Jan Heuer ist bei KLIEMT.Arbeitsrecht verantwortlich in den Fokusgruppen "Whistleblowing und interne Untersuchungen" sowie "Digitalisierung und Mitbestimmung".
Verwandte Beiträge
Individualarbeitsrecht Neueste Beiträge

Wenn Arbeitgeber Bewerber googeln: Informationspflicht und Datenschutz im digitalen Zeitalter

Internetrecherchen spielen für Arbeitgeber im Bewerbungsprozess eine immer größere Rolle. Im digitalen Zeitalter gibt es eine hohe Diversität an Informationen über Personen im Netz. Dadurch kann das Internet Informationen über Bewerber bieten, die über die in den eingereichten Bewerbungsunterlagen hinausgehen. Arbeitgeber müssen allerdings einiges beachten, wenn sie die Namen von Bewerbern in eine Suchmaschine eingeben und dadurch erlangte Informationen im Auswahlverfahren verwerten möchten. Arbeitgeber müssen bei…
BEM Individualarbeitsrecht

BEM-Einladungsschreiben – keine reine Formalität!

Die Durchführung eines betrieblichen Eingliederungsmanagements („BEM“) ist in den meisten Fällen Wirksamkeitsvoraussetzung für eine krankheitsbedingte Kündigung. Das BEM gehört also zum Standardprozess. Doch bereits ein fehlerhaftes Einladungsschreiben zum BEM kann diesen Prozess zunichtemachen. Und das nicht nur, wenn der Arbeitnehmer das BEM abgelehnt hat, sondern auch wenn es tatsächlich durchgeführt wurde. In diesem Beitrag sollen daher wichtige Aspekte aufgegriffen werden, die bei der Erstellung des…
Datenschutz Neueste Beiträge

Erste europäische Richtlinie zur Nutzung von Künstlicher Intelligenz und Datenschutz

Der European Data Protection Supervisor („EDPS“) hat in seiner Funktion als Datenschutzbehörde am 3. Juni 2024 erstmalig eine Richtlinie für den richtigen Umgang mit Datenschutz im Zusammenhang mit der Nutzung von generativen KI-Systemen veröffentlicht. Vorrangig richtet sich die Richtlinie an EU-Institutionen und soll eine Orientierungshilfe zur Einhaltung der EU-DSVO sein. Die EU-DSVO findet speziell für die Verarbeitung von personenbezogenen Daten durch EU-Institutionen Anwendung, während die…
Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

 

Die Abmeldung ist jederzeit möglich.