HR-Compliance: Und täglich grüßt der Datenschutz ...

„Aus HR-Sicht ist Datenschutz das neue Gold.“

Ein ständiger Begleiter von Unternehmen und insbesondere der Personalabteilungen ist die Datenschutzgrundverordnung (DSGVO), die sicherlich eines der wenigen europäischen Regelungswerke ist, das auch Nicht-Juristen ein Begriff ist. Dies mag zum einen an dem großen medialen Interesse bei Datenschutzverstößen mit umfangreicher Berichterstattung liegen, ist zum anderen aber sicherlich auch dem Umstand geschuldet, dass eine erhöhte Sensibilität im Umgang mit persönlichen Daten besteht. Schließlich tut die dynamische und vor allem tendenziell betroffenenfreundliche Rechtsprechung des EuGH und deren Umsetzung durch die nationalen Arbeitsgerichte ein Übriges.

Prägnantes Beispiel und Berührungspunkt vieler Personalabteilungen dürfte dabei etwa die Geltendmachung von Auskunftsansprüchen gem. Art. 15 Abs. 1, 3 DSGVO insbesondere durch vormalige oder sich in Trennungsszenarien befindliche Mitarbeiter sein. Weiterhin ist durch die nationale Rechtsprechung höchstrichterlich weitgehend ungeklärt, in welchem Umfang der Auskunftsanspruch zu erfüllen ist: Reicht eine Information über die verarbeiteten Stammdaten (so die restriktive Auslegung) oder ist wirklich jede E-Mail, jedes Dokument, jeder Vermerk mit personenbezogenen Daten vorzulegen (so die extensive Auslegung). Der EuGH und die Datenschutzbehörden tendieren klar zur weiten Auslegung, durch die Unternehmen in der Praxis vor kaum zu bewältigende organisatorische Anforderungen gestellt werden. Wirtschaftlichkeitsaspekte interessieren die Luxemburger Richter dabei aber weniger, wie diese unlängst anlässlich eines Herausgabeverlangens im Arzt-Patientenverhältnis urteilten 1.

Ein kleiner Lichtblick am Horizont mag dabei immerhin die Begrenzung des Anspruchs auf immateriellen Schadensersatz gem. Art. 82 Abs. 1 DSGVO sein, wonach zur erfolgreichen Geltendmachung die Darlegung eines konkreten Schadens gehört 2. Dieser braucht zwar eine Bagatellgrenze nicht zu überschreiten; eine bloße Verletzung datenschutzrechtlicher Vorschriften reicht indes nicht. Teilweise zeichnen nationale Gerichte diese Rechtsprechung bereits nach und lehnen bei einer bloßen Verletzung des Auskunftsanspruchs gem. Art. 15 DSGVO einen ersatzfähigen Schaden ab 3, wobei es jedoch noch keine „gefestigte“ Rechtsprechungslinie gibt 4.

In anderen Bereichen des Beschäftigtendatenschutzes hat das Bundesarbeitsgericht (BAG) hingegen Klarheit geschaffen und seine bisherige Linie bestätigt: Datenschutz ist weiterhin kein Tatenschutz, so dass sich ein rechtswidrig handelnder Vorsatztäter nicht auf die Unverwertbarkeit der Aufnahmen einer offenen Videoüberwachung zur arbeitgeberseitigen Darlegung seiner Pflichtverletzung im Kündigungsschutzprozess berufen kann 5. Die Stellung als betrieblicher Datenschutzbeauftragter und die Funktion des Betriebsratsvorsitzenden sind ebenfalls miteinander inkompatibel und dieser Konflikt rechtfertigt eine Abberufung aus dem Amt als Datenschutzbeauftragter, wie die höchsten deutschen Arbeitsrichter entschieden haben 6. In diesem Zusammenhang mag man daher fast vernachlässigen, dass nach Ansicht des EuGH die wohl wichtigste Ermächtigungsgrundlage im deutschen Beschäftigtendatenschutzrecht – namentlich § 26 Abs. 1 BDSG – mutmaßlich unionsrechtswidrig ist und nicht zur Rechtfertigung einer Datenverarbeitung nach der Öffnungsklausel des Art. 88 DSGVO herangezogen werden kann 7. Die anfänglich noch deutlichen Rufe und auch ministeriellen Ankündigungen nach einem neuen Beschäftigtendatenschutzgesetz sind zwischenzeitlich aber wieder etwas verhallt, was auch daran liegen mag, dass das BAG weiterhin an § 26 BDSG festhalten will 8.

Das vorgenannte datenschutzrechtliche Potpourri dürfte eindrucksvoll belegen, welche Bedeutung gesetzeskonformem Handeln beim Beschäftigtendatenschutz zukommt. „Daten sind das neue Gold“ ist schon lange kein inhaltsleerer Slogan mehr. Aus HR-Sicht dürfte vielmehr gelten: „Datenschutz ist das neue Gold“.

Abbildung 1

Prof. Dr. Michael Fuhlrott ist Partner bei FUHLROTT Arbeitsrecht in Hamburg. Er berät Unternehmen zu sämtlichen individual- und kollektivrechtlichen Fragestellungen mit einem Schwerpunkt im Arbeitnehmerdatenschutz. Ein besonderer Fokus seiner Tätigkeit liegt in der forensischen und rechtsberatenden Tätigkeit bei internen Ermittlungsmaßnahmen.

1	EuGH, Urt. v. 26. 10. 2023 – C-307/22, BB 2023, 2562.

2	EuGH, Urt. v. 4. 5. 2023 – C-487/21, CB 2023, 375.

3	LAG Düsseldorf, Urt. v. 28. 11. 2023 – 3 Sa 285/21.

4	S. nur ArbG Duisburg, Urt. v. 3. 11. 2023 – 5 Ca 877/23.

5	BAG, Urt. v. 29. 6. 2023 – 2 AZR 296/22, CB 2023, 416.

6	BAG, Urt. v. 6. 6. 2023 – 9 AZR 383/19, BB 2023, 2425.

7	EuGH, Urt. v. 30. 3. 2023 – C-34/21, K&R 2023, 340.

8	BAG, Beschl. v. 9. 5. 2023 – 1 ABR 14/22, BB 2023, 2807.

Cover_CB

Compliance-Berater

Die Bedeutung von Compliance hat in den letzten Jahren stark zugenommen und wird auch in Zukunft weit über die Bedeutung eines Mode-Themas hinausgehen. Gleichzeitig besteht immer wieder eine große Unsicherheit in den Unternehmen über die ständig neuen Anforderungen. Der CB richtet sich als praxisnahes Tool an alle Compliance-Verantwortlichen – wie z. B. Compliance Officer, Risikomanager und Geschäftsleitung – in Unternehmen, Institutionen und Verbänden.

Der CB bildet die 4 Facetten von Compliance in jeder Ausgabe ab:

Corporate Compliance
Risikoanalyse und -Identifikation
Compliance Management und
Haftung & Aufsicht.

Der CB ist überwiegend auf die präventive Rechtsanwendung ausgerichtet. Damit orientiert sich der CB an den Bedürfnissen der Praxis, die konkrete Lösungen braucht.

Lesen Sie den CB 4 Wochen kostenlos und unverbindlich!

Zur Testphase

240611_DCK

Deutsche Compliance Konferenz 2024
11.-12. Juni 2024 | Düsseldorf

Alle Informationen unter
www.ruw.de/dck

Zuletzt gelesen:

heute, 10:43
CB 2024, I