HR-Compliance: Und täglich grüßt der Datenschutz ...
„Aus HR-Sicht ist Datenschutz das neue Gold.“
Ein ständiger Begleiter von Unternehmen und insbesondere der Personalabteilungen ist die Datenschutzgrundverordnung (DSGVO), die sicherlich eines der wenigen europäischen Regelungswerke ist, das auch Nicht-Juristen ein Begriff ist. Dies mag zum einen an dem großen medialen Interesse bei Datenschutzverstößen mit umfangreicher Berichterstattung liegen, ist zum anderen aber sicherlich auch dem Umstand geschuldet, dass eine erhöhte Sensibilität im Umgang mit persönlichen Daten besteht. Schließlich tut die dynamische und vor allem tendenziell betroffenenfreundliche Rechtsprechung des EuGH und deren Umsetzung durch die nationalen Arbeitsgerichte ein Übriges.
Prägnantes Beispiel und Berührungspunkt vieler Personalabteilungen dürfte dabei etwa die Geltendmachung von Auskunftsansprüchen gem. Art. 15 Abs. 1, 3 DSGVO insbesondere durch vormalige oder sich in Trennungsszenarien befindliche Mitarbeiter sein. Weiterhin ist durch die nationale Rechtsprechung höchstrichterlich weitgehend ungeklärt, in welchem Umfang der Auskunftsanspruch zu erfüllen ist: Reicht eine Information über die verarbeiteten Stammdaten (so die restriktive Auslegung) oder ist wirklich jede E-Mail, jedes Dokument, jeder Vermerk mit personenbezogenen Daten vorzulegen (so die extensive Auslegung). Der EuGH und die Datenschutzbehörden tendieren klar zur weiten Auslegung, durch die Unternehmen in der Praxis vor kaum zu bewältigende organisatorische Anforderungen gestellt werden. Wirtschaftlichkeitsaspekte interessieren die Luxemburger Richter dabei aber weniger, wie diese unlängst anlässlich eines Herausgabeverlangens im Arzt-Patientenverhältnis urteilten1.
Ein kleiner Lichtblick am Horizont mag dabei immerhin die Begrenzung des Anspruchs auf immateriellen Schadensersatz gem. Art. 82 Abs. 1 DSGVO sein, wonach zur erfolgreichen Geltendmachung die Darlegung eines konkreten Schadens gehört2. Dieser braucht zwar eine Bagatellgrenze nicht zu überschreiten; eine bloße Verletzung datenschutzrechtlicher Vorschriften reicht indes nicht. Teilweise zeichnen nationale Gerichte diese Rechtsprechung bereits nach und lehnen bei einer bloßen Verletzung des Auskunftsanspruchs gem. Art. 15 DSGVO einen ersatzfähigen Schaden ab3, wobei es jedoch noch keine „gefestigte“ Rechtsprechungslinie gibt4.
In anderen Bereichen des Beschäftigtendatenschutzes hat das Bundesarbeitsgericht (BAG) hingegen Klarheit geschaffen und seine bisherige Linie bestätigt: Datenschutz ist weiterhin kein Tatenschutz, so dass sich ein rechtswidrig handelnder Vorsatztäter nicht auf die Unverwertbarkeit der Aufnahmen einer offenen Videoüberwachung zur arbeitgeberseitigen Darlegung seiner Pflichtverletzung im Kündigungsschutzprozess berufen kann5. Die Stellung als betrieblicher Datenschutzbeauftragter und die Funktion des Betriebsratsvorsitzenden sind ebenfalls miteinander inkompatibel und dieser Konflikt rechtfertigt eine Abberufung aus dem Amt als Datenschutzbeauftragter, wie die höchsten deutschen Arbeitsrichter entschieden haben6. In diesem Zusammenhang mag man daher fast vernachlässigen, dass nach Ansicht des EuGH die wohl wichtigste Ermächtigungsgrundlage im deutschen Beschäftigtendatenschutzrecht – namentlich § 26 Abs. 1 BDSG – mutmaßlich unionsrechtswidrig ist und nicht zur Rechtfertigung einer Datenverarbeitung nach der Öffnungsklausel des Art. 88 DSGVO herangezogen werden kann7. Die anfänglich noch deutlichen Rufe und auch ministeriellen Ankündigungen nach einem neuen Beschäftigtendatenschutzgesetz sind zwischenzeitlich aber wieder etwas verhallt, was auch daran liegen mag, dass das BAG weiterhin an § 26 BDSG festhalten will8.
Das vorgenannte datenschutzrechtliche Potpourri dürfte eindrucksvoll belegen, welche Bedeutung gesetzeskonformem Handeln beim Beschäftigtendatenschutz zukommt. „Daten sind das neue Gold“ ist schon lange kein inhaltsleerer Slogan mehr. Aus HR-Sicht dürfte vielmehr gelten: „Datenschutz ist das neue Gold“.
Prof. Dr. Michael Fuhlrott ist Partner bei FUHLROTT Arbeitsrecht in Hamburg. Er berät Unternehmen zu sämtlichen individual- und kollektivrechtlichen Fragestellungen mit einem Schwerpunkt im Arbeitnehmerdatenschutz. Ein besonderer Fokus seiner Tätigkeit liegt in der forensischen und rechtsberatenden Tätigkeit bei internen Ermittlungsmaßnahmen.
1 | EuGH, Urt. v. 26. 10. 2023 – C-307/22, BB 2023, 2562. |
2 | EuGH, Urt. v. 4. 5. 2023 – C-487/21, CB 2023, 375. |
3 | LAG Düsseldorf, Urt. v. 28. 11. 2023 – 3 Sa 285/21. |
4 | S. nur ArbG Duisburg, Urt. v. 3. 11. 2023 – 5 Ca 877/23. |
5 | BAG, Urt. v. 29. 6. 2023 – 2 AZR 296/22, CB 2023, 416. |
6 | BAG, Urt. v. 6. 6. 2023 – 9 AZR 383/19, BB 2023, 2425. |
7 | EuGH, Urt. v. 30. 3. 2023 – C-34/21, K&R 2023, 340. |
8 | BAG, Beschl. v. 9. 5. 2023 – 1 ABR 14/22, BB 2023, 2807. |