open search
close
  • Suche
    • Autoren Über uns Kliemt.de Podcast Home
    Compliance Neueste Beiträge

    Wenn die Datenschutzbehörde beim Arbeitgeber anklopft …

    Print Friendly, PDF & Email

    Bußgelder für Datenschutzverstöße im Zusammenhang mit Mitarbeiter- und Bewerberdaten haben zugenommen. Jüngst erreichte ein Bußgeld Millionenhöhe, weil ein Unternehmen Informationen aus dem Privatleben von Mitarbeitern speicherte und auswertete. Vor diesem Hintergrund bleibt nicht jeder Unternehmensverantwortliche cool, wenn ein Schreiben der Datenschutzbehörde ins Haus flattert. Dabei muss ein Tätigwerden der Datenschutzbehörde nicht zwingend zu einem (hohen) Bußgeld führen. Wie sollten Unternehmen reagieren?

    Wann und wie wird die Datenschutzbehörde tätig?

    Um ein Verfahren einleiten zu können, muss die Datenschutzbehörde zunächst Kenntnis von einem möglichen Datenschutzvorfall erlangen. Sie wird entweder eigene Vermutungen angestellt haben oder durch eine Beschwerde, zum Beispiel eines aktuellen oder ehemaligen Mitarbeiters, auf den Datenschutzvorfall aufmerksam gemacht worden sein. Die Datenschutzbehörde wird daraufhin ein erstes Schreiben an das Unternehmen schicken. Wenn Unternehmen nicht gerade Personalakten im Internet veröffentlicht haben, ist ein Erstkontakt durch unangekündigtes Erscheinen der Datenschutzbehörde eher unwahrscheinlich.

    Kooperatives Verhalten meist empfehlenswert …

    Oft gibt es gute Gründe dafür, dass Unternehmen auf ein solches Schreiben in besonderem Maße kooperativ reagieren. Denn die Datenschutzbehörde hat nach der DS-GVO kooperatives Verhalten bei der Bemessung der Höhe des Bußgeldes mildernd zu berücksichtigen. Ein Bußgeldbescheid verstößt sogar gegen den Grundsatz der Verhältnismäßigkeit, wenn die Datenschutzbehörde die Kooperationsbereitschaft des Unternehmens bei der Bemessung der Bußgeldhöhe nicht ausreichend würdigt. Darüber hinaus können Datenschutzverstöße zu einem nicht unerheblichen Imageschaden für das betroffene Unternehmen führen. Durch einen offensiven Umgang mit dem Datenschutzverstoß, als Teil des kooperativen Ansatzes, besteht die Möglichkeit, die negativen Auswirkungen in der Außenwahrnehmung gering zu halten.

    … soweit es hilft

    Allerdings kann allzu kooperatives Verhalten auch Risiken mit sich bringen. Zum einen kann eine zu umfangreiche Auskunft gegenüber der Datenschutzbehörde ungewollte Folgefragen provozieren und die Datenschutzbehörde so möglicherweise auf Verletzungen von Datenschutzrecht stoßen, die ihr sonst nicht bekannt geworden wären. Die Wahrscheinlichkeit der Aufdeckung ist daher ein wichtiges Kriterium bei der Entscheidung, wie weit die Kooperation des Unternehmens gehen sollte. Zum anderen besteht bei einem zu offensiven Umgang mit dem Datenschutzverstoß die Gefahr, dass dieser dadurch erst der breiten Öffentlichkeit bekannt wird. Das kann wiederum zu Imageverlust statt Imageerhalt führen. Mitarbeiter könnten Schadensersatzansprüche geltend machen.

    Datenschutzverstoß sofort abstellen

    Neben der Wahl der richtigen Mischung aus Kooperation und gebotener Zurückhaltung ist wichtig, dass Unternehmen den Datenschutzverstoß umgehend und noch vor entsprechender Anordnung durch die Datenschutzbehörde abstellen. Im besten Fall können Unternehmen schon in ihrer ersten Stellungnahme darauf hinweisen, dass sie Sofortmaßnahmen getroffen haben, die weitere Verstöße dieser Art verhindern. Das kann z. B. in Fällen unzureichender Sicherung von Mitarbeiterdaten durch Maßnahmen zur Verbesserung der IT-Sicherheit gelingen. Da die Dauer des Datenschutzverstoßes und positives Nachtatverhalten bei der Bemessung der Höhe des Bußgeldes zu berücksichtigen sind, können Unternehmen hier an Stellschrauben drehen, die die Höhe des drohenden Bußgeldes reduzieren.

    Gespräch mit der Behörde suchen

    Selbstverständlich sollte die von der Datenschutzbehörde gesetzte Frist für eine Stellungnahme eingehalten werden. Bei Bedarf kann eine Fristverlängerung beantragt werden. Zusätzlich zur schriftlichen Stellungnahme hilft es meist, wenn Unternehmen das persönliche Gespräch mit den Sachbearbeitern der Datenschutzbehörde suchen. Das hat den Vorteil, dass ein direkter Austausch stattfinden kann, in dem das Unternehmen mögliche Bedenken der Datenschutzbehörde besser einordnen und seine eigene Position besser erläutern kann. Es kommt auf den Einzelfall an, ob dieser Austausch mit der Datenschutzbehörde lieber mit oder ohne Anwalt stattfinden sollte.

    Fazit: Mit der richtigen Strategie geht noch was

    Wenn die Datenschutzbehörde anklopft, können Unternehmen ihr datenschutzrechtliches „Bußgeld-Schicksal“ zum großen Teil noch immer selbst beeinflussen. Die Devise sollte lauten: Ruhe bewahren und Strategie ausarbeiten mit der richtigen Mischung zwischen Kooperation und gebotener Zurückhaltung.

    Dr. Jan Heuer
    Rechts­an­walt
    Fachanwalt für Arbeitsrecht
    Partner
    Jan Heuer berät deutsche und internationale Unternehmen sowie öffentlich-rechtliche Institutionen umfassend in allen Fragen des Arbeitsrechts. Einen Schwerpunkt bilden die Begleitung von Reorganisationen und Restrukturierungen sowie die Vertretung in Arbeitsgerichtsprozessen. Besondere Expertise hat er außerdem im Datenschutzrecht (z. B. DS-GVO-Checks, Abschluss von IT-Betriebsvereinbarungen) und im Bereich arbeitsrechtlicher Compliance (z. B. interne Untersuchungen bei Fehlverhalten von Mitarbeitern, Vermeidung von Scheinselbständigkeit und illegaler Arbeitnehmerüberlassung, Einhaltung Betriebsverfassungsrecht). Jan Heuer ist bei KLIEMT.Arbeitsrecht verantwortlich in den Fokusgruppen "Whistleblowing und interne Untersuchungen" sowie "Digitalisierung und Mitbestimmung".
    vCard downloaden Dr. Jan Heuer auf LinkedIn
    Verwandte Beiträge
    Datenschutz Neueste Beiträge

    Datenschutzrechtliche Auskunftsansprüche im arbeitsgerichtlichen Vergleich miterledigen? – Möglichkeiten & Grenzen

    In arbeitsgerichtlichen Vergleichen sind Erledigungsklauseln Standard. Sie sollen für Klarheit und Rechtssicherheit zwischen den Parteien sorgen. Doch was passiert, wenn ein Arbeitnehmer nach Abschluss eines arbeitsgerichtlichen Vergleichs an einem geltend gemachten datenschutzrechtlichen Auskunftsverlangen nach Art. 15 DSGVO festhält? In einem aktuellen Urteil hat sich das OVG Saarland mit der Frage auseinandergesetzt, ob ein datenschutzrechtlicher Auskunftsanspruch von der Erledigungsklausel in einem arbeitsgerichtlichen Vergleich umfasst ist (OVG…
    Compliance Datenschutz Individualarbeitsrecht Neueste Beiträge

    Deepfakes im Bewerbungsprozess

    Was passiert, wenn KI nicht nur zur Unterstützung, sondern zur Manipulation, etwa in Bewerbungsprozessen, eingesetzt wird? Mit digitalisierten Bewerbungsverfahren, Remote-Recruiting-Prozessen und virtuellen Jobinterviews steigt nicht zuletzt auch das Risiko, dass Bewerber Deepfakes einsetzen. Deepfake-Technologien ermöglichen es, Bewerbungsunterlagen wie Zeugnisse und Referenzschreiben täuschend echt zu fälschen oder gar Vorstellungsgespräche zu manipulieren und sich so einen Vorteil im Bewerbungsprozess zu verschaffen. Für Arbeitgeber stellt sich die Frage,…
    Arbeitsrecht 4.0 Betriebsrat Compliance Datenschutz Neueste Beiträge

    KI im Hinweisgebersystem: Potenziale nutzen, Risiken vermeiden

    Seit Inkrafttreten des Hinweisgeberschutzgesetzes (HinSchG) sind Unternehmen mit mindestens 50 Beschäftigten verpflichtet, interne Hinweisgebersysteme einzurichten. Immer mehr Arbeitgeber setzen dabei auf Künstliche Intelligenz (KI), um die Bearbeitung von Meldungen zu beschleunigen und effizienter zu gestalten. Doch Vorsicht! Beim KI-gestützten Whistleblowing spielen arbeitsrechtliche Fragen eine wichtige Rolle: vom Beschäftigtendatenschutz über die Mitbestimmungsrechte des Betriebsrats bis hin zu den Grenzen zulässiger Automatisierung. Datenschutz: KI und Beschäftigtendaten rechtssicher…
    Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
    Jetzt anmelden und informiert bleiben.

     

    Die Abmeldung ist jederzeit möglich.

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert