Im vorliegenden Fall hat das Landesarbeitsgericht Baden-Württemberg (9 Sa 73/21) ein bedeutendes Urteil zu datenschutzrechtlichen Ansprüchen eines Arbeitnehmers gefällt. Der Kläger forderte die Entfernung einer Abmahnung aus seiner Personalakte und Auskunft über die von seinem Arbeitgeber verarbeiteten personenbezogenen Daten gemäß Art. 15 DSGVO. Diese Entscheidung wirft wichtige Fragen zur Auslegung der DSGVO und deren Anwendung im Arbeitsrecht auf.
Sachverhalt
Der Kläger, ein ehemaliger Mitarbeiter der Beklagten, wurde am 5. März 2020 abgemahnt, weil er angeblich sensible Mitgliederdaten der Beklagten auf einem USB-Stick gespeichert habe. Der Stick wurde von einem Kollegen gefunden und vom Beklagten zu 2, dem Geschäftsführer, eingezogen.
Der Kläger bestritt die Vorwürfe und verlangte die Entfernung der Abmahnung aus seiner Personalakte sowie Auskunft über seine personenbezogenen Daten gemäß Art. 15 DSGVO. Zudem forderte er Schadensersatz wegen der angeblichen Verstöße gegen die DSGVO.
Rechtliche Probleme
Anspruch auf Entfernung der Abmahnung
Nach Art. 17 Abs. 1 DSGVO kann ein Arbeitnehmer nach Beendigung des Arbeitsverhältnisses die Löschung von Abmahnungen aus seiner Personalakte verlangen. Das Gericht stellte fest, dass die Abmahnung nach Ende des Arbeitsverhältnisses keine Bedeutung mehr hat und somit gelöscht werden muss. Interessant sind dabei die Ausführungen des Gerichts dazu, wann eine Akte eine Dateisammlung ist:
Das Argument der Beklagten, die DSGVO fände keine Anwendung geht fehl. Art. 2 Abs. 1 DSGVO setzt keine elektronische Verarbeitung der Daten voraus, sondern lässt jede Verarbeitung in einer Datei ausreichen.
Der Begriff des Dateisystems ist in Art. 4 Nr. 6 DSGVO bestimmt. Danach ist ein Dateisystem jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geographischen Gesichtspunkten geordnet geführt wird. Eine solche Datei ist auch die Personalakte (…)
Ein gleichartiger Aufbau bestimmter Kriterien liegt bereits vor, wenn Akten nach ihrer äußeren Beschriftung ein gleiches System beinhalten (bei einer Personalakte: Name, Vorname, Personalnummer). Entscheidend ist die einheitliche und gleiche Gestaltung (…). In diesem Fall sind Akten, oder besser Aktensammlungen von dem Begriff Dateisystem umfasst. Ein gleichartiger Aufbau ist bei Akten, die nach Personen gegliedert sind, immer gegeben. Auf einen gleichartigen inneren Aufbau der Akte kommt es dann nicht mehr an. Entscheidend ist nur, dass durch den formalen Aufbau die Daten letztendlich leichter erschlossen werden können. Soweit infolge des Aufbaus die Erschließbarkeit erfüllt ist, ist der Dateibegriff zu bejahen (…).
Als Merkmal für einen gleichartigen Aufbau dient ein Name, ein Aktenzeichen, eine Personalnummer, eine Adresse usw. Selbst bei der badischen Aktenheftung bzw. dem auch praktizierten badischen Aktenkarton (dabei handelt es sich um einen Papierkarton in der der Verwaltungsvorgang lose der Reihenfolge nach eingelegt ist) ist ein Dateisystem gegeben.
Fraglich ist jedoch, ob es mindestens eine bestimmte Anzahl von Akten geben muss, welche gleichartig aufgebaut sind, um überhaupt zu einer strukturierten Sammlung zu gelangen. Eine Mindestzahl von Akten, Daten oder Betroffenen fordert die Definition nicht. Damit können schon zwei strukturierte Vorgänge, zu denen später weitere Vorgänge hinzukommen können, aber nicht müssen, die Bedingungen für ein Dateisystem erfüllen. Nur Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, fallen nicht unter den Begriff und damit unter den Anwendungsbereich der DS-GVO (Erwägungsgrund 15). (…).
Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO
Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Im vorliegenden Fall wurde neben der Beklagten zu 1 (Arbeitgeberin) auch der Beklagte zu 2 (Geschäftsführer) als Verantwortlicher angesehen. Dies liegt daran, dass der Geschäftsführer eigenverantwortliche Entscheidungen über die Verarbeitung personenbezogener Daten traf und sich als „Inhaber“ des Betriebes ausgab. Die DSGVO sieht vor, dass solche Personen gesamtschuldnerisch mit dem Arbeitgeber haften können und somit auf Zahlung einer Entschädigung nach Art. 82 Abs. 1 DSGVO verpflichtet sind.
Anspruch auf Zahlung einer Entschädigung nach Art. 82 DSGVO
Der Anspruch auf Zahlung einer Entschädigung nach Art. 82 DSGVO setzt nicht voraus, dass ein Auskunftsanspruch gegenüber dem zur Auskunftserteilung Verpflichteten geltend gemacht wurde. Es reicht aus, dass der Verpflichtete erkennen kann, dass der Arbeitnehmer seine Rechte nach Art. 15 Abs. 1 DSGVO geltend macht. Dies bedeutet, dass der Arbeitnehmer nicht formell eine Auskunft verlangen muss, sondern es genügt, wenn der Arbeitgeber erkennt, dass der Arbeitnehmer Informationen über seine personenbezogenen Daten anfordert. Diese Klarstellung unterstreicht die Wichtigkeit des Schutzes personenbezogener Daten und die Verantwortlichkeit der Datenverarbeiter.
Frist für die Auskunftserteilung nach Art. 12 Abs. 3 DSGVO
Wird für die Auskunftserteilung eine zu kurze Frist gesetzt, ist das Auskunftsverlangen nicht gegenstandslos. Stattdessen richtet sich die Frist für die Auskunftserteilung nach Art. 12 Abs. 3 DSGVO, der eine Frist von einem Monat vorsieht, die in bestimmten Fällen um weitere zwei Monate verlängert werden kann. Das Gericht betonte, dass auch bei einer zu kurz gesetzten Frist der Anspruch auf Auskunft bestehen bleibt und der Arbeitgeber die gesetzlichen Fristen der DSGVO einhalten muss.
Auskunftspflicht bei Wegnahme und Auslesen eines USB-Sticks
Nimmt der Arbeitgeber dem Arbeitnehmer einen diesem gehörenden USB-Stick mit persönlichen Daten weg, liest diesen aus und sichert die Daten, hat er Auskunft darüber zu erteilen, welche Daten er ausgelesen und gesichert hat. Dies bedeutet, dass der Arbeitgeber detailliert offenlegen muss, welche personenbezogenen Daten er auf dem USB-Stick gefunden und weiterverarbeitet hat. Das Gericht entschied, dass im Falle der Verletzung dieser Auskunftspflicht der Arbeitgeber auf Schadensersatz nach Art. 82 DSGVO haftet. Dies verdeutlicht die strengen Anforderungen der DSGVO an die Transparenz und Rechenschaftspflicht der Datenverarbeiter.
Fazit und Auswirkungen
Dieses Urteil unterstreicht die Bedeutung der DSGVO im Arbeitsrecht und stärkt die Rechte von Arbeitnehmern auf Datenschutz und Auskunft über ihre personenbezogenen Daten. Arbeitgeber müssen sicherstellen, dass sie die Anforderungen der DSGVO erfüllen, insbesondere in Bezug auf die Auskunfts- und Löschungspflichten. Das Urteil kann als faktischer Präzedenzfall dienen und zukünftige Entscheidungen in ähnlichen Fällen beeinflussen.
Die Einhaltung der datenschutzrechtlichen Vorgaben ist für Unternehmen von entscheidender Bedeutung, um rechtliche Konsequenzen zu vermeiden und das Vertrauen der Mitarbeiter zu gewährleisten. Unternehmen sollten ihre internen Prozesse und Richtlinien regelmäßig überprüfen und an die aktuellen rechtlichen Anforderungen anpassen.
- Captagon im deutschen Strafrecht: Ein Überblick - 8. Oktober 2024
- Perfctl: Neue, heimtückische Malware, die Millionen von Linux-Servern bedroht - 7. Oktober 2024
- Datenschutzverstöße durch E-Mail-Weiterleitung: Haftungsrisiken für Geschäftsführer - 6. Oktober 2024