Das Thema
Das Bundesarbeitsgericht (BAG) zeigt seit Jahren wenig Humor, wenn Arbeitgeber die Daten ihrer Mitarbeiter verarbeiten, ohne die strengen Vorgaben des Datenschutzes zu beachten. Nicht selten verlieren Unternehmen Kündigungsschutzverfahren, wenn sie Beweise vorlegen, die sie unter Verstoß gegen den gesetzlichen Datenschutz gesammelt haben. Gerade bei der Überwachung von Mitarbeitern per Video, beim Einsatz von Detektiven, der Auswertung von E-Mails und internen Übermittlungen drohen in solchen Fällen Beweisverwertungsverbote. Verliert man einen wichtigen Prozess wegen Fehlern beim Datenschutz, kann dies intern zu unangenehmen Fragen führen. Aber es drohen auch andere Nachteile, wie etwa Schadensersatzansprüche von betroffenen Mitarbeitern.
Daneben können DSGVO-Bußgelder inzwischen sehr teuer werden. Denn die EU-Datenschutz-Grundverordnung (DSGVO) sieht bei Verstößen Bußgelder von bis zu 20 Millionen Euro vor. Oder von bis zu 4 Prozent des globalen Umsatzes eines Unternehmens oder Konzerns, je nachdem welcher Betrag höher ist. Das stellt Arbeitgeber gerade beim Beschäftigtendatenschutz vor einige Herausforderungen. Denn neben möglicherweise unzulässigen Kontrollen von Mitarbeitern kann auch der Verlust von Beschäftigtendaten zu Bußgeldrisiken führen. Der vorliegende Überblick beschreibt die aktuelle Entwicklung bei DSGVO-Bußgeldern und gibt Empfehlungen, wie Arbeitgeber daraus folgende Risiken vermeiden oder verringern können.
DSGVO-Bußgelder: Aktuelle Entwicklungen
Das erste höhere Bußgeld in Europa kam von der Datenschutzbehörde in Portugal. Diese verhängte ein Bußgeld von 400.000 Euro gegen ein Krankenhaus wegen unzureichenden Zugriffsbeschränkungen bei sensiblen Daten. Am 21. November 2018 verhängte nun auch der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) das erste in Deutschland bekannt gewordene Bußgeld nach Art. 83 DSGVO. Währenddessen kündigen Datenschutzbehörden etwa im Handelsblatt Unternehmen Bußgelder in „erheblichem Umfang“ an.
Anlass für das in der vergangenen Woche vom LfDI verhängte Bußgeld war ein Hacker-Angriff gegen das betroffene Unternehmen. (Bericht F.A.Z.-online). Das verhängte Bußgeld betrug mit 20.000 Euro genau ein Promille des in der DSGVO vorgesehenen Bußgeldrahmens von 20 Millionen Euro. Bei Unternehmen bzw. Konzernen, die einen globalen Umsatz von über 500 Millionen Euro erwirtschaften, sind auf der Grundlage von 4 Prozent des globalen Umsatzes auch noch höhere Bußgelder möglich. Sogar Milliardenbußgelder sind damit bei großen Konzernen theoretisch möglich.
In seiner Pressemeldung begründete der LfDI das ausgesprochen niedrige Bußgeld mit der professionellen Reaktion des Unternehmens und seiner umfassende Kooperation mit der Behörde bei der Reduzierung und Beseitigung der Folgen des Hacker-Angriffs. Weitere Einzelheiten zu diesem Verfahren können Sie hier abrufen. Die komplexe Rechtslage und die aktuelle Entwicklung geben auch für Arbeitgeber Anlass, sich mit den Einzelheiten der Verteidigung gegen drohende DSGVO-Bußgelder zu befassen.
Strategische Überlegungen zur erfolgreichen Verteidigung gegen DSGVO-Bußgelder
Der nachstehende Überblick enthält einige wesentliche strategische Überlegungen für Arbeitgeber zur Verteidigung gegen drohende Bußgelder wegen Datenschutzverstößen.
Effektive Umsetzung der DSGVO
Auch wenn es eine Binsenweisheit ist – die sicherste Verteidigung gegen DSGVO-Bußgelder ist die erfolgreiche Umsetzung der Anforderungen des neuen europaweit geltenden Datenschutzes und der nationalen Vorschriften zum Datenschutz. Neben belastbaren Strukturen und Prozessen zur Umsetzung der DSGVO sollten Arbeitgeber auch über ein effektives Datenschutz-Managementsystem (DSMS) auch zur Verwaltung von Beschäftigtendaten verfügen. Ein solches DSMS kann sich an ähnlich strukturierten Compliance-Managementsystemen orientieren, z.B. dem IDW Prüfstandard 980. Häufig sind auch datenschutzrechtliche Betriebsvereinbarungen eine gute Möglichkeit, um die Verarbeitung von Beschäftigtendaten für konkrete Einzelfälle im Betrieb rechtssicher zu regeln. In vielen Fällen der Verarbeitung von Beschäftigtendaten ist es ohnehin erforderlich, dass Arbeitgeber sich mit dem Betriebsrat abstimmen. Denn bekanntermaßen legt das BAG den Anwendungsbereich des Mitbestimmungsrechts des Betriebsrats aus § 87 Abs. 1 Nr. 6 BetrVG relativ weit aus.
Schwachstellen identifizieren
So gut wie jedes Bußgeldverfahren der Datenschutzbehörden ist die Folge einer Beschwerde einer betroffenen Person. Vor diesem Hintergrund empfiehlt es sich für Arbeitgeber, gerade dort beim Datenschutz sehr genau zu arbeiten, wo Beschwerden von Beschäftigten drohen. Besonders Maßnahmen zur Überwachung von Mitarbeitern (z.B. E-Mail-Kontrollen oder Auswertungen von Bewegungsdaten) bergen in der Praxis häufig ein hohes Konfliktpotenzial.
Prozessorientierte Dokumentation
Beim neuen EU-Datenschutz gilt das sogenannte Rechenschaftsprinzip, Art. 5 Abs. 2 DSGVO. Danach müssen Arbeitgeber die Vorgaben der DSGVO nicht nur umsetzen, sondern dies auch nachweisen können. Hierbei empfiehlt es sich, spätere Ermittlungsverfahren der Datenschutzbehörden und mögliche Gerichtsverfahren von Anfang an im Blick zu behalten. Die Form der Datenschutzdokumentation sollte sich daran orientieren, dass man sie später auch vor Gericht oder im behördlichen Verfahren nutzen kann. Beispielsweise kann es ausgesprochen hilfreich sein, die gesetzlich vorgeschriebenen Verzeichnisse von Verarbeitungstätigkeiten (VVT) gleich so zu gestalten, dass sie einen Export in ein Format erlauben, welches Anwälte später in Schriftsätzen verwenden können.
Akteneinsicht
Auch – oder gerade – wenn die Datenschutzaufsicht Untersuchungen im Rahmen ihrer behördlichen Befugnisse Nachforschungen anstellt, sollten Unternehmen ihre Reaktionen gründlich abwägen. Bereits im behördlichen Verfahren (und nicht erst im anschließenden Bußgeldverfahren vor dem Amtsgericht oder dem Landgericht) haben die Beteiligten ein Recht auf Akteneinsicht. Es kann daher durchaus empfehlenswert sein, vor der Beantwortung behördliche Fragen einen Antrag auf Akteneinsicht zu stellen.
Kooperation oder „Sockelverteidigung“
Eine der Grundfragen bei der Verteidigung gegen DSGVO-Bußgelder ist, ob und in welchem Umfang Arbeitgeber mit der Behörde kooperieren sollten. Vereinfacht gesprochen, empfiehlt sich eine umfassende Kooperation mit der Datenschutzbehörde in der Regel oft dann, wenn man vor allem über die Höhe eines möglichen Bußgeldes verhandelt. Geht hingegen der Arbeitgeber anders als die Datenschutzbehörde in einem konkreten Fall nicht davon aus, dass ein Bußgeld gerechtfertigt ist, kann eine sogenannte „Sockelverteidigung“ geboten sein. Hier wird man der Behörde tendenziell wenig Informationen zur Verfügung stellen und sich vor allem auf ein Bußgeldverfahren vor Gericht vorbereiten. In der Vergangenheit haben Gerichte von den Datenschutzbehörden verhängte Bußgelder nicht selten noch einmal deutlich reduziert oder Geldbußen sogar ganz abgelehnt.
Aussagepflicht und Selbstbelastungsverbot
Nach Art. 58 Abs. 1 lit. a) DSGVO können Datenschutzbehörden datenschutzrechtlich verantwortliche Arbeitgeber anweisen, ihnen alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind. Gerade vor dem Hintergrund drohender Bußgeldverfahren ist diese Informationspflicht ausgesprochen problematisch. Zwar sieht § 40 Abs. 4 BDSG nF ein Aussageverweigerungsrecht vor, wenn man fürchtet, sich selbst zu belasten. Allerdings kann man sich die Reaktion der Datenschutzbehörde unschwer vorstellen, wenn ein Arbeitgeber selbst einräumt, er wolle keine Information zur Verfügung stellen, weil er sich damit selbst belasten könnte. Hier kann die Neigung der Behörde sehr groß sein, sich die angeforderten Informationen auf anderem Wege zu beschaffen, etwa durch Untersuchungen beim Arbeitgeber vor Ort.
Verwertungsverbote
§ 43 Abs. 4 BDSG nF sieht ein Verwertungsverbot vor, wenn man Datenpannen ordnungsgemäß nach Art. 33 und Art. 34 DGVO meldet. Die Vorschrift sieht vor, dass solche Meldungen nur mit Zustimmung des Meldepflichtigen oder Benachrichtigenden gegen den Verantwortlichen verwendet werden können. Teilweise wird vertreten, dass Arbeitgeber daher „möglichst viel melden sollten“, um so drohenden Sanktionen zu entgehen. Dieser Ansatz ist aber problematisch. Denn nach Art. 83 Abs. 2 lit. e DSGVO sollen die Behörden bei der Bemessung von Bußgeldern auch „etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters“ berücksichtigen. Arbeitgebern kann damit ein höheres Bußgeld drohen, wenn diese zuvor fleißig Datenschutzverstöße gemeldet haben und dadurch bei den Behörden als „vorbelastet“ gelten. Zudem sehen viele Bußgeldbehörden § 43 Abs. 4 BDSG nF als EU-rechtswidrig an und würden diese Frage gerne vom EuGH geklärt wissen. Ein Berufen auf die Ausnahmevorschrift kann daher einen langwierigen, teuren und öffentlichkeitswirksamen Rechtstreit zur Folge haben. Vor allem aber stellt sich die Frage, ob die Behörde von der Datenpanne nicht auch aus anderen Quellen erfahren hat, etwa durch Beschwerden von betroffenen Beschäftigten oder durch eigene Ermittlungen.
Schadensersatzforderungen
Art. 82 DSGVO sieht auch den Ersatz immaterieller Schäden vor. Das eröffnet Beschäftigten völlig neue Klagemöglichkeiten. Denn Datenschutzverstöße ziehen in aller Regel erst einmal nicht-vermögensrechtliche Schäden, sondern Eingriffe in Persönlichkeitsrechte nach sich. Daher sollten Arbeitgeber bei der Verteidigung gegen mögliche DSGVO-Bußgelder auch das Risiko späterer Schadensersatzansprüche in Betracht ziehen. Zumal mögliche Kläger auch nach dem Informationsfreiheitsgesetz Zugang zu dem Bußgeldbescheid und anderen Inhalten der behördlichen Bußgeldakte verlangen können. Diese Informationen können in späteren Schadensersatzansprüchen sehr wichtig werden.
Außenwirkung
Neben den rechtlichen Fragen sollten Arbeitgeber auch die Außenwirkung einer möglichen langwierigen Auseinandersetzung vor Gericht berücksichtigen. Derartige Verfahren können eine große Öffentlichkeitswirkung haben und auch nicht unerhebliche Kosten verursachen.
Fazit
Diese strategischen Überlegungen zeigen: Arbeitnehmer brauchen nicht tatenlos abwarten, bis ein Bußgeldverfahren gegen sie eröffnet wird. Vielmehr ist es überaus ratsam für Arbeitgeber, bereits vorab effektive Verteidigungsstrategien zu entwickeln.
Partner bei Latham & Watkins LLP (Büro Frankfurt)
Zum Autorenprofil einschließlich den Kontaktmöglichkeiten zum Autor in den sozialen Medien
Law Clerk
Latham & Watkins LLP (Büro Frankfurt)
