Wenn so mancher Arbeitgeber wüsste, wie häufig er gegen die Vorgaben des Datenschutzrechts verstößt – und wenn die Datenschutzbehörde hiervon erst Wind bekäme… und der Betriebsrat… oder so mancher Arbeitnehmer… Dann könnte es unangenehm werden für den Arbeitgeber. Arbeitnehmerdatenschutz ist nicht zuletzt mit Blick auf die neue EU-Datenschutz-Grundverordnung (EU-DSGVO), die im Mai 2018 in Kraft tritt, in aller Munde. Dabei zeigt die Praxis, dass Verstöße von Arbeitgebern immer häufiger teure Folgen haben, die es zu vermeiden gilt.
Datenschutz interessiert mich (nicht)
Datenschutzrecht kann für Arbeitgeber ziemlich anstrengend sein: immer neue Gesetze bei stetiger Digitalisierung der Arbeitswelt – und dann kommen auch noch Betriebsräte um die Ecke, die mit erhobenem Zeigefinger Datenschutz einfordern. „Passt schon irgendwie“ ist da nicht (mehr) die richtige Antwort.
Vielmehr müssen sich Arbeitgeber den Herausforderungen des Datenschutzes stellen und sich diesbezüglich ein klares Bild verschaffen. Dabei ist insbesondere relevant:
- Welche Verstöße passieren?
- Welche Konsequenzen drohen?
- Wie kann man Verstößen vorbeugen?
- Wie reagiert man, wenn der Verstoß bereits verfolgt wird?
Was macht ein Personaler, wenn eine Bewerbung auf seinem Tisch liegt? Richtig, er googelt den Bewerber. Hierbei dürfte er nicht selten auf interessante Ergebnisse stoßen, auch aus dem Privatbereich des Bewerbers. Ein „brisantes“ Facebook-Posting zu politischen Themen, ein „merkwürdiger“ Tweet zur religiösen Einstellung oder ein „lustiges“ Instagram-Foto zum Partyverhalten können da aus Sicht des Arbeitgebers ganz aufschlussreich sein.
Doch der Verstoß gegen §§ 4, 32 Bundesdatenschutzgesetz (BDSG) ist dann möglicherweise bereits passiert. Nach dem BDSG dürfen Arbeitgeber ohne Einwilligung des Bewerbers allenfalls solche Informationen aus dem Netz ziehen, die einen unmittelbaren Bezug zum (potenziellen) Arbeitsverhältnis aufweisen. Das ist bei Einträgen, die dem privaten Bereich des Bewerbers zuzuordnen sind, meist eben nicht der Fall.
Kommt der Arbeitgeber im Vorstellungsgespräch nun auf seine Internetrecherche zu sprechen und gibt dadurch zu erkennen, dass er den Bewerber gegoogelt hat, tritt der Datenschutzrechtsverstoß offen zu Tage – der später abgelehnte und enttäuschte Bewerber könnte Schadensersatz fordern.
Vorsicht mit dem Googeln
Auch bei der vorhandenen Belegschaft sollte der Arbeitgeber das Googeln lassen. Wenn er etwa Facebook-Screenshots ausdruckt und zur Personalakte nimmt, muss er den Arbeitnehmer nach § 33 Abs. 1 Satz 1 BDSG zusätzlich darüber informieren. Da der Arbeitnehmer nach § 83 Abs. 1 S. 1 Betriebsverfassungsgesetz (BetrVG) ein Einsichtsrecht in die Personalakte hat, könnte eine Missachtung dieser Vorgabe leicht herauskommen. In späteren Kündigungsrechtsstreitigkeiten hält der Arbeitnehmer dem Arbeitgeber dann gerne einmal den Datenschutzrechtsverstoß vor.
Die „Datenschutzfalle“ lauert überall
Aber was heißt schon „zur Personalakte nehmen“? Immer häufiger werden Akten und Dokumente vor allem elektronisch gespeichert. Hierbei werden zunehmend Cloudsysteme von Drittanbietern verwendet. Diese Speicherung in Cloudsystemen stellt meist eine Auftragsdatenverwaltung im Sinne des BDSG dar. Das hat zur Folge, dass nach § 11 BDSG der Arbeitgeber den Anbieter der Speichersysteme sorgfältig auswählen sowie regelmäßig überwachen muss. Zudem muss er das Auftragsverhältnis detailliert schriftlich regeln. Und bei Drittanbietern aus dem Nicht-EU-Ausland sind die zu beachtenden Anforderungen nicht erst seit dem sog. Safe-Harbor-Urteil des EuGH (Urteil vom 06.10.2015, Az.: C-362/14) noch höher.
Was droht bei Verstößen gegen Datenschutzrecht?
Nach § 43 Abs. 3 BDSG können Datenschutzbehörden Bußgelder in einer Höhe von bis zu 300.000 Euro pro Verstoß und im Einzelfall auch darüber hinaus verhängen. Zur Kasse können gebeten werden sowohl der handelnde Mitarbeiter/Personaler selbst als auch – in Verbindung mit dem Ordnungswidrigkeitengesetz (OWiG) – das Unternehmen. Geschäftsführer und Vorstände werden möglicherweise durch die Unternehmen in Regress genommen, wenn sie die Datenschutz-Compliance nicht sorgsam organisiert haben.
Nach der neuen EU-Datenschutz-Grundverordnung drohen noch viel heftigere Konsequenzen: Gestaffelte Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres können bei Verstößen verhängt werden.
Wird das denn auch verfolgt?
In der Vergangenheit waren einige Landesdatenschutzbehörden eher lax bei der Verfolgung von Datenschutzrechtsverstößen durch Unternehmen. Öffentlichkeitswirksam wurden eher großen Konzernen wie Lidl oder der Deutschen Bahn Bußgelder auferlegt, die gerne mal eine Million Euro erreichten.
Allerdings zeichnet sich eine eindeutige Tendenz zur stärkeren Verfolgung auch mittelständischer Unternehmen ab. So haben jüngst mittlerweile zehn Landesdatenschutzbehörden eine sogenannte „Prüfaktion“ eingeleitet und Fragebögen an Unternehmen verschickt (mehr zu diesem Thema finden Sie in dem Beitrag von Dr. Till Hoffmann-Remy: „Compliance beim Datentransfer: Zur ‚Fragenbogenaktion’ der Datenschutzbehörden“). Diese Entwicklung zur stärkeren Verfolgung wird ganz sicher im Zusammenhang mit dem Inkrafttreten der EU-Datenschutz-Grundverordnung weiter zunehmen. Denn dann wird die EU-Kommission den nationalen Verfolgungsbehörden genau auf die Finger gucken und auf eine konsequente Verfolgung von Verstößen drängen.
Verstöße entlarven und verhindern!
Unternehmensverantwortliche sollten vor dem Hintergrund der dargestellten Konsequenzen Datenschutzrechtsverstößen gezielt vorbeugen. Eine Compliance-Untersuchung nach folgendem 3-Schritt-Muster empfiehlt sich:
- 1. Schritt (Analyse): Welche Datenschutzrechtsverstöße werden derzeit begangen?
- 2. Schritt (Entwicklung): Welche alternativen Vorgehensweisen, die im Einklang mit Datenschutzrecht stehen, können eingeführt werden?
- 3. Schritt (Umsetzung): Information und Schulung verantwortlicher Mitarbeiter zu alternativen Vorgehensweisen
Bei allen Schritten sollten bereits jetzt die Vorgaben der neuen EU-Datenschutz-Grundverordnung und des noch im Entwurfsstadium befindlichen nationalen Anpassungs- und Umsetzungsgesetzes mit einbezogen werden.
Wenn das Kind bereits in den Brunnen gefallen ist…
Bei der Ahndung bereits geschehener Verstöße sollte der Arbeitgeber behutsam vorgehen. So ist insbesondere die Kommunikation mit den Datenschutzbehörden von großer Bedeutung und im Einzelfall zu beurteilen. Hierbei kommt es auch auf vermeintliche Kleinigkeiten an, etwa wer ruft wann welchen Mitarbeiter bei der Behörde an.
Soweit das Unternehmen bereits Maßnahmen arbeitsrechtlicher Datenschutz-Compliance geplant und vielleicht sogar umgesetzt hat, kann dies bei der Argumentation gegenüber Datenschutzbehörden helfen. Denn das zeigt, dass man die Thematik ernst genommen hat. Das dürfte im Übrigen auch dem Image des Unternehmens zuträglich sein …
Mehr zum Thema Datenschutz und Recruiting finden Sie in dem Beitrag von Dr. Till Hoffmann-Remy: „Recruiting 4.0: Datenschutzrisiko und Diskriminierungsfalle?“