Das Thema
Bereits heute nimmt es das Bundesarbeitsgericht beim Datenschutz am Arbeitsplatz sehr genau. Beispielsweise verlieren Arbeitgeber immer öfter Kündigungsschutzprozesse allein deshalb, weil sie beim Sammeln ihrer Beweismittel die Vorgaben des Datenschutzes nicht richtig umsetzen. Gerichte gehen immer häufiger davon aus, dass datenschutzwidrig erhobenen Indizien einem umfassenden Beweisverwertungsverbot unterliegen, wenn Arbeitgeber bei ihrer Beweisführung gegen die Persönlichkeitsrechte der betroffenen Mitarbeiter verstoßen. Dabei ist das heutige deutsche Datenschutzrecht verglichen mit der ab Mai 2018 geltenden EU-Datenschutzgrundverordnung (DSGVO) ein recht zahnloser Tiger. Denn nach der neuen DSGVO müssen Arbeitgeber künftig beweisen, dass sie die komplexen Vorgaben des neuen Datenschutzes richtig umgesetzt haben. Erfüllen sie diese Compliance-Anforderung nicht, müssen sie neben Beweisverwertungsverboten und verlorenen Kündigungsschutzprozessen auch mit Bußgeldern und hohen Schadensersatzforderungen rechnen. Dieser Beitrag fasst die für die Praxis wichtigsten Eckdaten des neuen Datenschutzes zusammen. Zudem finden Arbeitgebern Empfehlungen, wie sie künftig Nachteile wegen tatsächlichen (oder auch nur behaupteten) Datenschutzverstößen vermeiden.
Die wichtigsten Änderungen durch die DSGVO auf einen Blick
Bislang spielten Schadensersatzforderungen wegen Datenschutzverstößen im Arbeitsrecht nur eine untergeordnete Rolle. Denn das noch geltende deutsche Recht sieht grundsätzlich keine Erstattung immaterieller Schäden vor, also etwa reiner Persönlichkeitsrechtsverletzungen ohne finanzielle Auswirkungen. Das ändert sich nun mit der DSGVO. Zudem müssen Arbeitgeber künftig beweisen, dass sie die personenbezogenen Daten ihrer Mitarbeiter in datenschutzrechtlich zulässiger Weise verarbeitet haben. Zudem sieht das neue Datenschutzrecht auch Verbandsklagerechte vor, die es Arbeitnehmern und anderen Verbrauchern erlauben, mögliche Ansprüche wegen Datenschutzverletzungen gemeinsam und somit deutlich effektiver geltend zu machen. Im Ergebnis müssen sich Arbeitgeber in Bezug auf drohende Schadensersatzforderungen wegen Datenschutzverstößen wohl auf Einiges einstellen.
Schadensersatz auch bei reinen Nichtvermögensschäden
Bislang mussten Arbeitgeber nach Datenschutzverstößen vor allem mögliche finanzielle Nachteile ausgleichen, also etwa Gerichts- oder Anwaltskosten. In der Praxis führt die unzulässige Verarbeitung von Arbeitnehmerdaten aber vor allem zu einer Beeinträchtigung der Persönlichkeitsrechte bzw. des Grundrechts auf Datenschutz nach Art. 8 der Charta der EU-Grundrechte (EGRC). Nach § 253 BGB sind solche Nichtvermögensschäden nach deutschem Recht nur dann erstattungsfähig, wenn dies ausdrücklich gesetzlich geregelt ist. Das bislang geltende Bundesdatenschutzgesetz (BDSG a.F.) sah eine solche Erstattungspflicht von Unternehmen gerade nicht vor.
Hier bringt Art. 82 DSGVO eine ganz wesentliche Änderung. Nach dieser Vorschrift müssen Arbeitgeber auch “immaterielle” Schäden ersetzen, wenn Sie die Daten ihrer Arbeitnehmer nicht nach den Vorgaben des neuen Datenschutzrechts verarbeiten. Und die Anforderungen der DSGVO sind komplex. Beispielsweise müssen Unternehmen ihre Beschäftigten umfassend darüber informieren, für welche Zwecke und auf welche Weise sie deren Daten verarbeiten. Zudem müssen sie eine ganze Reihe von Datenschutzgrundsätzen aus Art. 5 DSGVO beachten, etwa den der Datenminimierung. Sie dürfen also nur so viele Daten verarbeiten wie dies beispielsweise für die Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses erforderlich ist. Kommt es hier zu Fehlern, kann allein die unrechtmäßige Datenverarbeitung einen erstattungsfähigen Schaden begründen.
Wie hoch sind die drohenden Schadensersatzforderungen?
Künftige Schadensersatzforderungen nach Art. 82 DSGVO werden deutlich höher ausfallen als nach dem bisherigen deutschen Recht. Bislang haben deutsche Gerichte Arbeitnehmern allenfalls in Ausnahmefällen nennenswerte Schadensersatzzahlungen zugesprochen. Als Rechtsgrundlage musste dann das Deliktrecht in Verbindung mit dem allgemeinen Persönlichkeitsrecht des Betroffenen herhalten. Die von Arbeitgeber zu zahlenden Beträge lagen in solchen Fällen zwischen EUR 1.000 und EUR 7.000. Dafür lohnt es sich normalerweise nicht, durch die Instanzen zu ziehen. Allerdings gab es kürzlich einen spektakulären Fall ohne Bezug zum Arbeitsverhältnis. Ein Altkanzler hatte auf Schadensersatz wegen der unerlaubten Veröffentlichung seiner Memoiren geklagt. Das LG Köln sprach ihm hierauf eine Schadensersatzforderung von einer Million Euro zu.
Aber auch Arbeitnehmer und andere “Normalbürger” können künftig mit höheren Schadensersatzforderungen nach Datenschutzverstößen rechnen. Denn bei Verstößen gegen die DSGVO oder andere EU-Regelungen gilt der sogenannte Effektivitätsgrundsatz. Danach müssen die Mitgliedsstaaten der EU ihr nationales Recht so anwenden, dass es dem EU-Recht zu einer wirksamen Anwendung verhilft. Für Schadensersatz wegen Fehlern beim Datenschutz am Arbeitsplatz kann das bedeuten, dass Arbeitsrichter künftig Arbeitnehmern höhere Schadensersatzforderungen zubilligen werden, um der DSGVO zu einer effektiven Anwendung zu verhelfen. Es wird also interessant werden, wie sich deutsche Arbeitsgerichte künftig zur Höhe von Schadensersatzforderungen positionieren werden. Letztlich wird der Europäische Gerichtshof (EUGH) hier zu entscheiden haben. Und der vertritt derzeit einen eher datenschutzfreundlichen Kurs, was nicht eben für niedrige Bußgelder spricht.
Zudem sind Fehler beim Datenschutz ja eher strukturelle Probleme. Oft verarbeitet man nicht nur die Daten eines Beschäftigten falsch. Meistens betrifft es eher Gruppen von Arbeitnehmern oder sogar die ganze Belegschaft. Dann vervielfacht sich aus Arbeitgebersicht das Risiko von Prozessen.
Wie sind die Chancen für Arbeitnehmer, einen Schadensersatzprozess zu gewinnen?
Wenn Mitarbeiter auf Schadensersatz wegen tatsächlichen oder auch nur vermuteten Datenschutzverstößen klagen, haben sie gute Chancen, einen solchen Prozess auch zu gewinnen. Auch das ist eine wesentliche Veränderung gegenüber dem bisherigen Recht. Denn nach unserem deutschen Prozessrecht muss der Kläger grundsätzlich alle Tatsachen vortragen und beweisen, die seinen Anspruch begründen. Das ist nach dem neuen Datenschutzrecht anders. Nach Art. 24 DSGVO müssen Daten verarbeitende Unternehmen nachweisen können, dass sie Daten nach den Vorgaben der DSGVO verarbeiten.
Und in der Praxis ist es sehr schwer zu beweisen, dass man ein so komplexes Regelwerk wie die DSGVO tatsächlich umsetzt. Das setzt umfassende Dokumentation und gute Vorbereitung voraus. Im Ergebnis muss man dafür im Einzelnen nachweisen können, welche Maßnahmen man ergriffen hat, um den neuen Datenschutz umzusetzen. Zudem müssen sie belegen, in welchen Systemen sie welche Daten eines Klägers für welche Zwecke und mir welchen Mitteln verarbeiten. Das können derzeit noch nicht allzu viele Unternehmen leisten (vgl. auch den Beitrag zur Umsetzung der neuen Löschpflichten nach der DSGVO). Daher muss man DSGVO-Projekte gerade in Bezug aus den Arbeitnehmerdatenschutz entsprechend planen. Eines der wesentlichen Projektziele sollte es sein, sich in drohenden Verfahren vor den Arbeitsgerichten möglichst effektiv verteidigen zu können.
Manche Unternehmen bereiten sogar bereits entsprechende Musterschriftsätze vor. Ob das zweckmäßig ist oder nicht, hängt von vielen Faktoren ab. Aber wenn das DSGVO-Umsetzungsprojekt im Unternehmen bislang noch keine allzu großen Fortschritte gemacht hat, die Betriebsräte auf das Thema Datenschutz achten oder das Risiko von Klagen aus anderen Gründen erhöht ist, sollte man hierüber nachdenken. Letztlich ist das natürlich immer auch eine Frage des Budgets und der sonstigen Ressourcen.
Was sollten Arbeitgeber sonst noch beachten?
Schadensersatzansprüche und andere Prozessrisiken bewertet man ja im Wesentlichen nach zwei Kriterien: Eintrittswahrscheinlichkeit und Höhe drohender Schäden. Die Eintrittswahrscheinlichkeit wird durch eine Reihe von Faktoren noch erhöht. Unzufriedene Arbeitnehmer könnten künftig versuchen, wegen tatsächlichen oder unterstellen Datenschutzproblemen noch Schadensersatzansprüche geltend zu machen, um im Rahmen von Abfindungsverhandlungen ein gutes Paket zu bekommen.
Für Arbeitnehmeranwälte bietet die geänderte Beweislastverteilung beim Datenschutz einige interessante Möglichkeiten. Bislang nimmt das Bundesarbeitsgericht oftmals Beweisverwertungsverbote an, wenn Arbeitgeber im Kündigungsschutzprozess Indizien vorlegen, die sie nicht datenschutzkonform erhoben haben. Wenn Unternehmen künftig beweisen müssen, dass sie die Daten richtig gesammelt und weiter verarbeitet haben, wird das für Arbeitgeber deutlich schwieriger.
Zudem könnten viele Arbeitnehmer Anzeigen bei den Datenschutzbehörden machen. Das geht oft sogar anonym. Nachdem die Behörde wegen der Beschwerde ermittelt hat, kann man dann als Arbeitnehmer etwa nach dem Informationsfreiheitsgesetz Akteneinsicht verlangen. Damit hat man schon viele Informationen beisammen, die man für einen erfolgreichen Schadensersatzprozess braucht. Zudem kann man noch einen Auskunftsantrag gegen den Arbeitgeber nach Art. 15 DSGVO stellen. Dann muss das Unternehmen sehr viele Angaben vorlegen, unter anderem eine Kopie relevanter personenbezogener Daten. In Verbindung mit der weitgehenden Beweislast des Arbeitgebers ist das für Arbeitnehmeranwälte eine durchaus günstige Ausgangslage. Es wird also interessant werden, was deutsche Arbeitsgerichte und letztlich der EUGH aus der neuen Rechtslage machen werden.
Zusätzliche Risiken durch Verbandsklagen
Die DSGVO sieht noch weitere Möglichkeiten für Arbeitnehmer und andere Verbraucher vor, mögliche Schadensersatzansprüche möglichst effektiv durchzusetzen, beispielsweise durch Verbandsklagen. So können Verbraucherverbände oder Datenschutzvereinigungen beispielsweise Klagen im Namen einzelner Verbraucher einreichen. Bei Unterlassungsklagen wegen Datenschutzverstößen und einigen anderen Rechten nach der DSGVO geht das sogar ohne eine Beauftragung durch die betroffene Person selbst. Das kann durchaus zu einer Art „Abmahntourismus“ führen, mit dem Verbände Unternehmen flächendeckend wegen tatsächlicher, behaupteter oder sogar nur vermuteter Datenschutzverstößen abmahnen. Dieses Verbandsklagerecht ohne vorherige Beauftragung durch einen betroffenen Arbeitnehmer gilt zwar nicht für Schadensersatzklagen. Aber wenn ein Verband oder ein Verbraucheranwalt einmal ein Unterlassungsverfahren gewonnen haben, wird es ihnen wohl recht leicht fallen, künftig weitere Mandanten für zukünftige Verfahren zu gewinnen. Man darf dann auch gespannt sein, ob die Arbeitsgerichte ein solches Verbandsklagerecht auch Betriebsräten und Gewerkschaften zubilligen.
Wie können Arbeitgeber das Risiko von Schadensersatzprozessen und Bußgeldern verringern?
Zunächst sollten sich auch HR-Abteilungen und Personaljuristen möglichst früh in DSGVO-Umsetzungsprojekte einschalten, um sicherzustellen, dass das Unternehmen die Besonderheiten der Personalarbeit bei der Implementierung des neuen Datenschutzrechts beachtet. Vor allem sollten Sie aber darauf achten, dass die Verteidigung in späteren Gerichtsverfahren eines der wesentlichen Projektziele ist. Dementsprechend sollten Arbeitgeber ihre Maßnahmen zur Umsetzung der DSGVO auch gleich in einer Form dokumentieren, die sie in einen späteren Arbeitsgerichtsprozess einbringen können. Zudem müssen sie dafür sorgen, dass die Projektverantwortlichen sämtliche Anwendungen und Systeme kennen, in denen personenbezogene Daten von Arbeitnehmern verarbeitet werden. Manche Unternehmen bereiten schon jetzt entsprechende Musterschriftsätze vor, um sich später vor Gericht möglichst effektiv gegen Schadensersatzansprüche oder drohende Beweisverwertungsverbote wehren zu können.
Eine andere große Baustelle sind Betriebsvereinbarungen. Viele Aufsichtsbehörden für den Datenschutz vertreten die Auffassung, dass Betriebsvereinbarungen bis zum 25. Mai 2018 an die DSGVO angepasst werden müssen, wenn sie die Verarbeitung personenbezogener Daten regeln oder voraussetzen. Auch hier kommen dann erhebliche Risiken oder Aufwände auf Arbeitgeber zu. Da man in vielen Betrieben und Konzernen kaum sämtliche Betriebsvereinbarungen anpassen kann, empfiehlt sich als erster Schritt der Abschluss einer Rahmenbetriebsvereinbarung, die die wichtigsten Vorgaben der DSGVO umsetzt. Einen Überblick über dieses Thema findet man im aktuellen Heft der Neuen Zeitschrift für Arbeitsrecht (NZA 2017, 1488 ff.) oder in weiteren EFAR-Gastbeiträgen des Autors.
Partner bei Hogan Lovells International LLP (Büro Frankfurt)
Autorenprofile in den sozialen Medien: Twitter, Xing oder LinkedIn.
Aktuelle Buchveröffentlichung des Autors zum Thema:
