Art. 15 ff. DSGVO: Betroffenenrechte

Artikel 15 DSGVO

Das Arbeitsgericht Düsseldorf hat einem Beschäftigten einen Anspruch auf Ersatz seines immateriellen Schadens gegen seinen Arbeitgeber in Höhe von 5.000 Euro zugesprochen. Dem Beschäftigten wurde nicht vollständig und zu spät Auskunft gemäß Art. 15 DSGVO erteilt, Az. 9 Ca 6557/18, Urteil vom 5.3.2020 (nicht rechtskräftig). Solch hohe Schadensersatzbeträge locken natürlich Nachahmer an.

Unternehmen können sich nach der EU-Datenschutzgrundverordnung (DSGVO) schadensersatzpflichtig machen, wenn sie den von der Datenverarbeitung betroffenen Personen nicht deren zustehende Rechte aus der DSGVO, die sogenannten Betroffenenrechte, gewährleisten. Die Betroffenenrechte im Beschäftigungsverhältnis (insbesondere Bewerber, Angestellte, Arbeitnehmer, Auszubildende, vgl. § 26 Abs. 8 BDSG) bilden das Thema des nachfolgenden Beitrages.

Schadensersatzzahlung und Bußgeld drohen bei Verletzung von Betroffenenrechten

Ein Verstoß gegen die in der DSGVO geregelten Betroffenenrechte kann zu Schadensersatzansprüchen der Betroffenen führen, Art. 82 DSGVO. Diese entstehen nicht nur bei  sogenannten materiellen, sondern auch bei immateriellen Schäden (dann umgangssprachlich “Schmerzensgeld” genannt). Daneben drohen empfindliche Bußgelder (Art. 83 Abs. 5 b) DSGVO) von bis zu 20 Millionen Euro oder 4 % des Jahresgesamtumsatzes.

Betroffenenrechte in der DSGVO

Jede Person, deren Daten verarbeitet werden und die folglich von einer Datenverarbeitung betroffen ist, wird „betroffene Person“ oder kurz „Betroffene“ genannt. Deren Rechte sind im dritten Kapitel der DSGVO in den Artikeln 12 – 23 geregelt: Information, Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch sowie Rechte gegen automatisierte Entscheidungsfindung, gegen nationale Beschränkungen der Rechte und schließlich das Recht zum Widerruf von Einwilligungen. Über all diese Rechte müssen Datenverarbeiter betroffene Personen informieren, Art. 13 DSGVO. Dies verpflichtet also jeden Arbeitgeber gegenüber seinen Beschäftigten.

Organisation der Betroffenenrechte

Die Pflicht zur Gewährleistung der Betroffenenrechte nach den Art. 12 ff. DSGVO gilt gegenüber betroffenen Personen. Daher müssen Arbeitgeber als Verantwortliche ihren gesetzlichen Datenschutzorganisationspflichten genügen und auch entsprechenden Forderungen ihrer Beschäftigten gerecht werden. Hierzu sind interne Regelungen aufzustellen. In einem Verzeichnis der Verarbeitungstätigkeiten ist zu dokumentieren,

  • wie die Betroffenenrechte zu erfüllen sind,
  • wer dafür zuständig ist,
  • welche Grenzen und Ausnahmen es von diesen Pflichten gibt, sowie,
  • wer diese prüft und entscheidet, ob und in welchem Umfang Auskunft zu erteilen ist.

Allein die fehlende organisatorische Vorkehrung und unterlassene Dokumentation kann zu einem Bußgeld führen.

Datenverarbeitung im Beschäftigungsverhältnis

Die Betroffenenrechte beziehen sich auf die Daten der Beschäftigten, die im Rahmen des Beschäftigungsverhältnisses von ihnen durch ihren Arbeitgeber verarbeitet werden. Typische Daten, die innerhalb des Beschäftigungsverhältnisses verarbeitet werden, sind die Arbeitsleistung und -zeit, Bankverbindung, Bewerbungsunterlagen, Informationen über etwaige Kinder, Kirchenzugehörigkeit, Krankenkasse, Krankmeldungen, Lohn- oder Gehaltspfändungen, Postanschrift, Steuerklasse etc. Die Verarbeitung dieser Daten ist im Regelfall ohne gesonderte Einwilligung gesetzlich zulässig, § 26 BDSG. Für Videoüberwachung und Ermittlungen gegen Beschäftigte gelten gesonderte Regelungen (siehe hierzu den Blog-Beitrag „Überwachung von Mitarbeitern“).

Explizit: Der Auskunftsanspruch gemäß Art. 15 DSGVO

Betroffenen Personen ist unter den Voraussetzungen des Art. 15 DSGVO Auskunft darüber zu erteilen, ob personenbezogene Daten von ihnen verarbeitet werden. Ist dies der Fall, können sie zudem Informationen über die verarbeiteten Daten verlangen. Davon umfasst ist auch Näheres zum Verarbeitungszweck, der Kategorie, Dauer und zu eventuellen Empfängern der Verarbeitung. Die Auskunft ist im Regelfall so schnell wie möglich, spätestens jedoch innerhalb eines Monats zu erteilen.

Geht eine Auskunftsanfrage im Sinne von Art. 15 DSGVO bei irgendeiner Stelle im Unternehmen ein, muss diese umgehend an die für die Beantwortung von Auskunftsanfragen zuständige Stelle hausintern weitergeleitet werden, Dort ist dann zu prüfen, ob die Person, die die Anfrage stellt, tatsächlich die Person ist, deren Daten verarbeitet werden. Denn die Auskunftserteilung darf natürlich nicht an die falsche Person erfolgen. Dann ist zu prüfen, ob der geltend gemachte Auskunftsanspruch überhaupt besteht und wenn ja, wie weitreichend er ist und ob es Beschränkungen und Ausnahmen gibt.

Parallel sollte, um keine Zeit zu verlieren, die interne Recherche nach den angefragten Auskünften erfolgen, um die Antwort so schnell wie möglich (ohne schuldhaftes Zögern = unverzüglich) erteilen zu können. Dabei muss man sich vorher darüber im Klaren sein, in welchen Datenquellen zu suchen ist. Z. B. könnte die E-Mail-Adresse einer Person gar nicht in den operativen Daten des Unternehmens zu finden sein, wohl aber in der Datenbank der Newsletter-Abonnenten, die ein Dienstleister für das Unternehmen verwaltet. Schließlich ist es empfehlenswert, Muster für die Beantwortung von Auskunftsanfragen parat zu haben.

Einschränkungen der Betroffenenrechte

Auf nationaler Ebene gilt zusätzlich zur DSGVO das Bundesdatenschutzgesetz (BDSG). Es enthält unter anderem Ausnahmetatbestände, die die Betroffenenrechte einschränken können. Dies sind die §§ 32 bis 37 BDSG. Beispielsweise wird die Ausprägung des Auskunftsrechts durch § 34 BDSG (in Verbindung mit § 27 Absatz 2, § 28 Absatz 2 und § 29 Absatz 1 Satz 2 BDSG) verkürzt. So besteht etwa bei der Verarbeitung nur aufgrund von gesetzlichen Aufbewahrungspflichten kein Anspruch der betroffenen Person. Im Archiv und in Backups ist demnach nicht zu suchen.

Fazit

Unternehmen müssen den Beschäftigtendatenschutz ernst nehmen. Wer die daraus entstehenden Pflichten vernachlässigt, muss mit einer Schadensersatzforderung und ggf. auch einem Bußgeld rechnen. Dies zeigen Fälle aus der Praxis.

Bei der technischen, organisatorischen sowie rechtskonformen Umsetzung der Betroffenenrechte zur Vermeidung solcher Fälle unterstützt Sie die dpc Data Protection Consulting GmbH sehr gern. Denn es ist besser, vorzubeugen als Schadensersatz oder Bußgeld zu zahlen.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.