Datenschutz im Arbeitsrecht: Schadensersatz wegen unzureichender Datenoffenlegung

Das Arbeitsgericht Düsseldorf macht in seinem Urteil vom 3. Mai 2021 – 14 Ca 4602/20 – deutlich, dass Unternehmen bei der Verarbeitung personenbezogener Daten ihrer Mitarbeiter strenge Richtlinien einhalten müssen. Ein Fall zwischen einer ehemaligen Mitarbeiterin und ihrem Arbeitgeber verdeutlicht die Konsequenzen von Datenschutzverstößen.


Der Fall

Die Klägerin verklagte ihren ehemaligen Arbeitgeber auf Schadensersatz, nachdem dieser ihr gegenüber angeblich gegen die Datenschutz-Grundverordnung (DS-GVO) verstoßen hatte. Konkret beanstandete sie, dass ihr Arbeitgeber sie einerseits nicht ausreichend über die Verarbeitung ihrer personenbezogenen Daten informiert habe, weil er ihr lediglich die Kategorien der verarbeiteten Daten mitgeteilt habe, und andererseits ihr nach Geltendmachung ihres Auskunftsrechts keine vollständige Auskunft über diese Daten ausgehändigt habe. Außerdem habe er die Daten ohne ihre Einwilligung verarbeitet und weitergegeben. Diese Versäumnisse hätten zu erheblichen Unannehmlichkeiten geführt. Der Beklagte hingegen hielt die erteilte Auskunft für ausreichend.
 

Die Entscheidung

Das Gericht gab der Klägerin Recht und sprach ihr einen Schadensersatz in Höhe von 100 Euro zu. Gemäß Art. 15 Abs. 1 und 3 i. V. m. Art. 12 Abs. 1 Satz 1 DS-GVO habe der Arbeitgeber gegen seine Pflichten verstoßen, der Klägerin vollständige Informationen über ihre personenbezogenen Daten bereitzustellen. Diese unzureichende Transparenz wurde als ein Verstoß gewertet, der einen immateriellen Schaden für die Klägerin verursachte.

Gemäß Art. 15 Absatz 1 DS-GVO steht der betroffenen Person ein umfassender Anspruch auf Auskunft über die verarbeiteten, sie betreffenden personenbezogenen Daten sowie weitere Informationen zu. Der Verantwortliche muss der betroffenen Person in jedem Fall mitteilen, ob er sie betreffende personenbezogene Daten verarbeitet. Ist dies nicht der Fall, hat der Verantwortliche eine Negativauskunft zu erteilen. Verarbeitet der Verantwortliche personenbezogene Daten über die betroffene Person, treffen ihn weitere Informationspflichten über die verarbeiteten Daten und bestimmte Metainformationen der Datenverarbeitung. Der Verantwortliche muss die betroffene Person im Rahmen einer Datenschutzinformation für Beschäftigte nach Art. 13 DS-GVO darüber informieren, welche Daten er über sie verarbeitet. Das Auskunftsrecht umfasst alle personenbezogenen Daten, die bei dem Verantwortlichen vorhanden sind. Vorliegend hatte der Beklagte der Klägerin nicht die konkreten über sie gespeicherten personenbezogenen Daten, sondern lediglich die Datenkategorien mitgeteilt. Dadurch erhielt die Klägerin weder einen Einblick in die tatsächlich gespeicherten Daten, noch konnte sie auf diese Weise deren Rechtmäßigkeit überprüfen oder gegebenenfalls ihr zustehende Löschungsansprüche geltend machen.
 

Fazit

Die Entscheidung des Arbeitsgerichts Düsseldorf unterstreicht die Bedeutung der genauen Einhaltung der DS-GVO-Vorschriften durch Unternehmen. Insbesondere müssen Unternehmen sicherstellen, dass sie ihren Mitarbeitern in Form einer Datenschutz-Information für Beschäftigte transparente und vollständige Informationen über die Verarbeitung ihrer personenbezogenen Daten zur Verfügung stellen, um rechtliche Konsequenzen zu vermeiden. Das Urteil illustriert auch, dass auch scheinbar minimale Details wie die richtige Auskunftserteilung über personenbezogene Daten erhebliche rechtliche Folgen haben können. Für Arbeitgeber bedeutet dies eine verstärkte Notwendigkeit, ihre Datenschutzpraktiken zu überprüfen und sicherzustellen, dass sie jederzeit den Anforderungen der DS-GVO entsprechen, um potenzielle finanzielle und rechtliche Risiken zu vermeiden. Falls Sie Unterstützung bei der Umsetzung benötigen, stehen unsere Datenschutzexperten Ihnen gerne zur Seite.

Autor
Autorin

Weitere Artikel, die Sie interessieren könnten

phone
mail Pfeil weiß