Wirtschaftsnachrichten für Ärzte | ARZT & WIRTSCHAFT
Datenschutzrecht

Nicht alle Arbeitsverhältnisse gehen im Guten auseinander, manche enden durch eine arbeitgeberseitige Kündigung. So auch im Falle einer Hauswirtschafterin bei einem Pflegedienst. Noch am Tag ihrer Kündigung machte sie einen „Auskunftsanspruch nach der Datenschutz-Grundverordnung (DSGVO) im Hinblick auf sämtliche gespeicherten Daten, insbesondere die Daten der Arbeitszeiterfassung“ geltend und erhob einen Tag später Kündigungsschutzklage.

Die Datenschutzauskunft schob der Arbeitgeber auf die lange Bank. Das nahm die Arbeitnehmerin ein halbes Jahr später als Steilvorlage, ihren ehemaligen Chef auf Schadensersatz nach der DSGVO zu verklagen. Daraufhin übersandte der Ex-Chef zumindest die Arbeitszeitnachweise, nicht jedoch die anderen über die ehemalige Mitarbeiterin gespeicherten Daten. Das Landesarbeitsgericht (LAG) Hamm sah darin einen Verstoß gegen die DSGVO und verurteilte den Arbeitgeber zur Zahlung von 1.000 Euro (11.05.2021, Az. 6 Sa 1260/20). Das hätte nicht sein müssen.

Verstoß muss nicht erheblich sein

Bislang hatten die Gerichte in Deutschland bei solchen Bagatellverstößen keinen Schadensersatz zugebilligt, weil hier keine „ernsthaften Beeinträchtigungen“ gegeben seien. Die Gerichte verlangten bislang vielmehr, dass „eine nicht bloß individuell empfundene Unannehmlichkeit“ eingetreten sein müsse.

Das Bundesverfassungsgericht hatte aber im Januar 2021 einer Verfassungsbeschwerde gegen die Ablehnung eines Schadensersatzes stattgegeben. Die Richter hatten in dem Beschluss klargestellt, dass sich aus der DSGVO nicht ergebe, dass ein Verstoß erheblich sein muss. Auch der Europäische Gerichtshof verwende den Begriff nicht. Daher dürfe ein Schadensersatz nicht wegen fehlender Erheblichkeit des Rechtsverstoßes abgelehnt werden.

Auch Bagatellverletzungen kosten Geld

Diese höchstrichterliche Entscheidung berücksichtigte nun das LAG Hamm. Es begründet den Schadensersatzanspruch damit, dass sich der DSGVO nicht entnehmen lasse, dass der Anspruch einen qualifizierten Verstoß voraussetzt. Für das Herausnehmen von Bagatellfällen aus der Vorschrift gebe es keinen Anhaltspunkt. Der Schadensbegriff müsse im Lichte der Rechtsprechung des Europäischen Gerichtshofes weit ausgelegt werden, damit er den Zielen der DSGVO gerecht werde.

Das Gericht erklärte, dass der Arbeitgeber in jedem Arbeitsverhältnis zwangsläufig personenbezogene Daten seiner Mitarbeiter verarbeite: mindestens die Kontaktdaten, die Bankdaten zur Überweisung des Lohns sowie die Anwesenheits- und Fehlzeiten. In welchem Umfang und in welchen Kategorien eine solche Verwendung erfolge, könnten Arbeitnehmer aber nicht ohne Weiteres erkennen. Sie könnten zudem nicht wissen, ob Daten auch Dritten zur Verfügung gestellt würden und für welche Dauer diese gespeichert bleiben.

Praxistipp: Wenn bestehende oder ehemalige Mitarbeiter eine Datenschutzauskunft über die von ihnen gespeicherten Daten verlangen, sollten Praxisinhaber dies ernst nehmen und sie nicht auf die lange Bank schieben. Um eine Auskunft kommen sie ohnehin nicht herum. Wer sie verzögert, bereitet sich dagegen unnötigen Ärger. Besser gleich reagieren.

Aussitzen bringt Ärger
Die Datenschutz-Grundverordnung (DSGVO) sieht vor, dass von einem Verstoß betroffene Personen einen Schadensersatzanspruch gegen den Verantwortlichen geltend machen können. Eine Erheblichkeitsschwelle oder eine Ausnahme für Bagatellen ist nicht enthalten. Gerade in belasteten Arbeitsverhältnissen oder nach Kündigungen kann das von Mitarbeitern genutzt werden, um dem Arbeitgeber eins auszuwischen. Daher gilt: sachlich reagieren und die Auskunft besser gleich erteilen.