„Beschäftigtendatenschutz“ - Datenschutz im Arbeitsrecht

Ein im Arbeitsverhältnis regelmäßig zu Streit führendes Thema dürfte in der inzwischen digitalisierten Welt sicherlich der Datenschutz darstellen.

Permanent kommen Arbeitnehmer und Arbeitgeber mit sogenannten personenbezogenen Daten in Kontakt. Der richtige Umgang damit dürfte aber häufig noch Probleme bereiten. Längst nicht alle legen besonderen Wert auf den Schutz dieser Daten bzw. häufig fehlt es auch schlicht an der Sensibilisierung für dieses doch wichtige Thema.

Was passiert nun, wenn der Arbeitnehmer seinem Vorgesetzten eine Information anvertraut oder wenn der Vorgesetzte Daten erhebt? Wem darf diese Information weitergegebenen werden? Welche Ansprüche hat der Mitarbeiter, wenn seine Daten unbefugt weitergegeben werden?

1. Personenbezogene Daten im Arbeitsverhältnis

Was personenbezogene Daten sind, ergibt sich aus Art. 4 Nr. 1 DS-GVO. Das Gesetz spricht an dieser Stelle von Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Es ist also nicht zwingend notwendig, dass eine Information direkt von sich heraus auf eine Person bezogen werden kann, solange sie nur mit bestimmten Mitteln identifizieren lässt.

Man könnte hier zum Beispiel an Leistungsdaten denken, die einer bestimmten Personalnummer zugeordnet sind. Es wird hier nicht auf den ersten Blick zu erkennen sein, wessen Leistungsdaten vorliegen. Kann die Personalnummer identifiziert werden, wird diese aber ohne weiteres, einem Mitarbeiter zugeordnet werden können.

Daneben wird es sich bei sämtlichen Informationen in der Personalakte um personenbezogene Daten handeln.

2. Erlaubte Verarbeitung; an wen dürfen die Daten weitergegeben werden?

Grundsätzlich ist eine Datenverarbeitung verboten, sofern nicht eine besondere Ausnahme im Gesetz vorgesehen ist. Besonders relevant sind dabei im Arbeitsverhältnis die Einwilligung des Betroffenen, also vorliegend des Arbeitnehmers und die Notwendigkeit der Informationsverarbeitung zur Vertragserfüllung. Gemeint ist damit nichts anderes, als dass die Datenverarbeitung dann erlaubt ist, wenn das Arbeitsverhältnis sonst nicht korrekt vollzogen werden könnte.

Hätte der Arbeitgeber beispielsweise nicht die Steuermerkmale des Arbeitnehmers, könnte er diese nicht zur korrekten Abrechnung an den Steuerberater übermitteln. Diese Daten sind für die Vertragserfüllung also wichtig und notwendig. Dies allerdings jeweils nur zweckgebunden. Die Veröffentlichung der Bankdaten oder der Steuermerkmale im hauseigenen Intranet, wäre für die Vertragserfüllung sicherlich nicht notwendig. Entsprechend läge ein doch sehr offensichtlicher Datenschutzverstoß vor. Häufig sind die Fälle aber nicht ganz eindeutig.

Wie ist z.B. mit der Kündigung eines Mitarbeiters umzugehen? Darf diese den Kunden mitgeteilt werden? Wurde der Mitarbeiter vorab gefragt und hat er eingewilligt, wird dies kein Problem darstellen.

Wurde der Mitarbeiter aber z.B. fristlos entlassen, wird er nicht wollen, dass dieser Umstand sämtlichen Kunden und Wettbewerbern mitgeteilt wird. Ebenso wird es sich bei einer Freistellung verhalten. Hierzu hat er auch allen Grund, da er sich im Zweifel vielleicht gerade dort bewerben möchte. So vertrat z.B. das Landgericht Rheinland-Pfalz in einem solchen Fall die Auffassung, dass bei einer Rundmail an Kunden und Kooperationspartnern, in welcher mitgeteilt wird, dass ein Mitarbeiter gekündigt und unverzüglich freigestellt wurde, diese Datenverarbeitung nicht notwendig wäre (vgl. LAG Rheinland-Pfalz, Beschluss v. 22.6.2021 und Beschluss vom 19.11.2021 – 8 Sa 338/20). Ein schützenswertes Interesse des Arbeitgebers kann in diesem Fall diejenigen des Arbeitnehmers nicht überwiegen.

3. Ansprüche bei Vorliegen eines Datenschutzverstoßes

Liegt ein Datenschutzverstoß vor, kann der Arbeitnehmer zunächst Auskunft über die konkrete Datenverarbeitung verlangen. Er kann weiter die Löschung und Berichtigung der Daten verlangen, aber z.B. auch Schadensersatz, sofern ihm durch die Verarbeitung ein Schaden entstanden ist.

Dabei kann auch der Reputationsschaden, welcher unter den sog. immateriellen Schadens zu fassen ist, in Geld auszugleichen sein, vgl. Art. 82 DS-GVO. Bezüglich der Höhe des Schmerzensgeldes sind insbesondere die Schwere des Verstoßes, die Dauer der Beeinträchtigung und die Folgen für den Geschädigten zu berücksichtigen.

Die Autorin dieses Beitrages, Frau Alexandra König ist Fachanwältin für Arbeitsrecht. Außerdem hat sie einen Master of Laws im Bereich des Medien- und IT-Rechts erworben. Sie vertritt Unternehmen und Privatpersonen im Bereich des Arbeits- und IT-/Datenschutzrechts.

Alexandra König LL.M.

Rechtsanwältin

Fachanwältin für Arbeitsrecht