Ende des vergangenen Jahres sprachen zwei Arbeitsgerichte teilweise überraschende Urteile im Zusammenhang mit DSGVO-Verstößen und unterstrichen damit erneut den hohen Stellenwert, den Betroffenenrechte im Rahmen der DSGVO haben.
Es ist zwar möglich, dass diese Urteile Einzelfälle bleiben, doch sie zeigen, dass nicht vorhergesagt werden kann, wie Arbeitsgerichte urteilen. Wir raten Ihnen als Arbeitgeber daher dringend, Auskunftsersuchen ernst zu nehmen, sie unverzüglich zu beantworten und auf eine verschlüsselte Datenübertragung zu achten. Im Folgenden haben wir die beiden Urteile kurz für Sie zusammengefasst:
Fall 1: Schadensersatz wegen „verspäteter“ Auskunft
Kurzer Ãœberblick
Eine betroffene Person hatte sich vor etwa sechs Jahren bei einem Unternehmen beworben. Im vergangenen Jahr bat sie um Auskunft darüber, ob bzw. welche personenbezogenen Daten aktuell von ihr noch verarbeitet werden. Sie setzte für die Beantwortung eine Frist von 14 Tagen. Nachdem das Unternehmen die Frist verstreichen ließ, fragte die betroffene Person erneut nach, woraufhin sie zwei Tage später die Auskunft erhielt, dass keine Daten mehr verarbeitet werden. Die betroffene Person bat daraufhin um Stellungnahme, warum die Beantwortung des Auskunftsersuchens so lange gedauert hatte, zumal es sich bei der Auskunft um eine Negativauskunft handelte. Das Unternehmen wies als Antwort darauf hin, dass die Frist zur Beantwortung von Auskunftsersuchen einen Monat beträgt. Das sah die betroffene Person anders und verklagte das Unternehmen auf immateriellen Schadensersatz – mit Erfolg.
Einschätzung des Gerichts
Das Arbeitsgericht Duisburg sprach dem Kläger einen immateriellen Schadensersatz in Höhe von 750,00 Euro zu. Es stellte mit seinem Urteil klar, dass die Monatsfrist gemäß Artikel 12 Abs. 3 S. 1 DSGVO nicht als Standard zu werten sei, sondern nur als Höchstfrist in besonderen Ausnahmefällen gelte. Die Beantwortung von Auskunftsersuchen habe vielmehr „unverzüglich“ zu erfolgen. Unverzüglich bedeutet laut BAG-Urteil vom 27.02.2020, dass
„nach einer Zeitspanne von mehr als einer Woche (…) ohne das Vorliegen besonderer Umstände grundsätzlich keine Unverzüglichkeit mehr gegeben [ist].“
Da es sich im vorliegenden Fall um eine Negativauskunft handelte, konnte das Gericht keine außergewöhnlichen Umstände erkennen, die erklären könnten, warum die Beantwortung länger als eine Woche dauern sollte.
Unser Fazit
Das Urteil ist umstritten. Die Monatsfrist wurde bisher in der Praxis häufig als Standardfrist interpretiert. So ist es in Unternehmen durchaus üblich, Anfragen Betroffener erst einmal bei Seite zu legen. Diese gängige Praxis sollte nun überdacht werden. Auskunftsersuchen sind erst zu nehmen und mit der erforderlichen Dringlichkeit zu bearbeiten. Die Nachweispflicht, warum eine Bearbeitung länger dauert, liegt beim Unternehmen und es ist nicht vorherzusehen, ob ein Gericht die Argumentation anerkennt.
Fall 2: Übermittlung einer Datenschutzauskunft per unverschlüsselter E-Mail
Kurzer Ãœberblick
Eine betroffene Person verlangte eine schriftliche Auskunft bei ihrem ehemaligen Arbeitgeber über alle Daten, die über sie gespeichert wurden. Der ehemalige Arbeitgeber beantwortete das Auskunftsersuchen unverzüglich per unverschlüsselter E-Mail. Gleichzeitig erhielt auch der Betriebsrat des Unternehmens diese Daten. Eine weitere Auskunft erfolgte per Post, doch die war aus Sicht der betroffenen Person unvollständig. Die betroffene Person störte sich einerseits an der unverschlüsselten Übermittlung und andererseits daran, dass auch der Betriebsrat die Daten erhalten habe. Dafür hatte sie nämlich kein Einverständnis gegeben. Nachdem der Thüringer Landesbeauftragte für Datenschutz die Einschätzung eines DSGVO-Verstoßes teilte, reichte die betroffene Person Klage auf immateriellen Schadensersatz ein.
Einschätzung des Gerichts
Das Arbeitsgericht in Suhl lehnte die Forderung auf immateriellen Schadensersatz in Höhe von 10.000 Euro ab, da der Kläger das Vorliegen eines konkreten immateriellen Schadens nicht ausreichend begründet hatte. Genau genommen vertrat der Kläger sogar den Standpunkt, dass die Darlegung eines Schadens nicht erforderlich sei. Dies sah das Arbeitsgericht unter Verweis auf jüngere Rechtsprechung des Europäischen Gerichtshofes (EuGH) anders. Es bestätigte aber, dass die Übermittlung der Daten in einer unverschlüsselten E-Mail gegen Artikel 5 DSGVO verstoße. Eine unverschlüsselte E-Mail entspricht im übertragenen Sinne einer Postkarte und stellt keine sichere Übertragung dar.
Unser Fazit
Auskünfte und andere E-Mails, die personenbezogene Daten enthalten, sollten immer verschlüsselt übertragen werden. Ohne die Verschlüsselung ist es grundsätzlich möglich, dass unbefugte Dritte vom Inhalt der E-Mail Kenntnis erlangen. Alternativ können Auskunftsersuchen auch mit verschlüsseltem Dateianhang oder ganz herkömmlich per Post beantwortet werden, das umgeht das Problem der Verschlüsselung. Verlangt die betroffene Person ausdrücklich die Übermittlung per E-Mail, sollte aktiv auf die Problematik hingewiesen und eine sichere Form der Übermittlung vorgeschlagen werden.
Holen Sie sich Unterstützung vom Experten
Die Umsetzung der DSGVO spielt im Arbeitsrecht eine immer zentralere Rolle. Besonders ehemalige Arbeitnehmerinnen und Arbeitnehmer sowie erfolglose Bewerberinnen und Bewerber suchen häufig nach vermeintlichen Verstößen. Mitunter werden Gerichtsentscheidungen für Abzockmaschen missbraucht, sodass auch Fake-Bewerbungen im Bereich des Möglichen liegen und eine reale Gefahr darstellen. Sensibilisieren Sie Ihre Personalabteilungen für dieses Thema und sorgen Sie dafür, dass Ihre Mitarbeitenden im Bereich Datenschutz geschult sind.
Wir von HUBIT Datenschutz führen Datenschutz-Grundlagenschulungen durch und unterstützen Sie bei der fristgerechten und umfassenden Beantwortung von Auskunftsersuchen. Vereinbaren Sie einen unverbindlichen Kennenlerntermin mit uns!