Im Dezember 2021 hat das Arbeitsgericht Neuruppin einen Arbeitgeber zur Zahlung von Schadensersatz in Höhe von 1.000€ an eine ehemalige Arbeitnehmerin aus Art. 82 DSGVO verurteilt. Grund dafür war, dass die ehemalige Arbeitnehmerin nach Beendigung des Arbeitsverhältnisses vom Arbeitgeber weiterhin auf dessen Webseite erwähnt wurde.
Dies hätte durch ein effizientes Löschkonzept und ein nachhaltiges Management von Betroffenenrechten vermieden werden können. Was Sie dazu wissen müssen, erfahren Sie hier.
Der Fall – Schadensersatz nach Art. 82 DSGVO
Der Sachverhalt, den das Arbeitsgericht Neuruppin zu entscheiden hatte, gestaltet sich wie folgt: Die Klägerin war Arbeitnehmerin bei der Beklagten. Sie war als Mitarbeiterin im Büromanagement angestellt, verfügte aber auch über einen akademischen Abschluss als Biologin.
Im Rahmen der Beendigung des Arbeitsverhältnisses wies die Klägerin die Beklagte an darauf hin, dass auf der Webseite der Beklagten die Klägerin immer noch benannt sei, dies insbesondere als Biologin. In diesem Schreiben wurde gleichzeitig darauf hingewiesen, dass die Hinweise auf der Website nicht mehr zu führen seien und die Klägerin sich im Übrigen nach Ablauf aller bisher gesetzter Fristen an die Landesbeauftragte für Datenschutz gewendet habe.
Auf der Webseite der Beklagten erschien aber weiter ein Inhalt über die Klägerin, in der diese als mitarbeitende Biologin bezeichnet wurde. Daraufhin forderte die Klägerin eine Unterlassungserklärung und eine Geldentschädigung. Die Beklagte gab die Erklärung ab und zahlte 150€ an die Klägerin.
Die Klägerin reichte daraufhin Klage ein und forderte vor Gericht 5.000€ Schadensersatz.
Das Gericht sprach der Klägerin einen Anspruch in Höhe von 1.000€ (abzüglich der gezahlten Summe) aus Art. 82 DSGVO zu. Die Voraussetzungen des Art. 82 DSGVO (Verstoß gegen die DSGVO (Betroffenenrechte), dadurch eingetretener Schaden und Verantwortlichkeit) lägen vor. Den Nachweis eines konkreten Schadens hielt das Gericht dabei nicht für nötig. Die Höhe orientierte sich dabei an der aktuellen Rechtsprechung.
Das Arbeitsgericht Neuruppin setzt mit diesem Urteil die arbeitnehmerfreundliche Auslegung des Datenschutzrechts durch die Arbeitsgerichte fort und belegt eindrucksvoll die hohen Risiken für Unternehmen, wenn es zu (vermeintlichen) Verstößen gegen den Datenschutz kommt. Besonders brisant dabei ist, dass sich die Gesamtsumme der Schadensforderungen schnell erhöhen kann, wenn ein Verstoß mehrere Beschäftigte berührt.
Schutzmaßnahmen für Arbeitgeber
Um sich vor solchen Schadensersatzzahlungen zu schützen, ist für Arbeitgeber nicht nur ein effizientes Löschkonzept, sondern auch ein nachhaltiges Management von Betroffenenrechten unerlässlich.
Löschkonzept nach DSGVO
Die DSGVO enthält nicht nur Vorgaben zur Erhebung und Speicherung, sondern auch zum Löschen von Daten und macht dieses sogar zur Pflicht. Dies kontrollieren dementsprechend auch die zuständigen Aufsichtsbehörden. Bei Verstößen drohen schon ohne Betroffenen als Kläger hohe Bußgelder.
Die Speicherung von Daten ist nur über den Zeitraum der Zweckdienlichkeit erlaubt (Speicherbegrenzung und Zweckbindung der Verarbeitung). Über ein Löschkonzept kann der Verantwortliche Regeln festlegen, wann welche Daten zu löschen sind. Damit ist ein Löschkonzept immer individuell auf den jeweiligen Verantwortlichen zugeschnitten. Um ein solches Löschkonzept zu erarbeiten, ist also eine genaue Analyse der Verarbeitungsvorgänge und betroffener Daten notwendig.
Zu beachten ist auch, dass die Daten am Ende wirklich gelöscht, also unkenntlich gemacht sind.
Management von Betroffenenrechten nach DSGVO
Die Betroffenenrechte aus der DSGVO dienen dazu, den Betroffenen die Kontrolle über ihre Daten zu geben. Besonders bezüglich Auskunftsersuchen müssen im Unternehmen geeignete Infrastrukturen vorliegen. Werden Auskunftsersuchen nicht ausreichend beachtet, drohen auch hier Bußgelder.
Ein Auskunftsverlangen kann sich in der Praxis als sehr umfangreich und komplex erweisen. Der Verantwortliche muss zunächst den Betroffenen identifizieren, sich bei der Beantwortung an Fristen halten und auch den Umfang des Ersuchens beachten.
Um dies nachhaltig umzusetzen, sind nach der DSGVO geeignete Datenschutzprozesse unerlässlich. Der Verantwortliche sollte auf Auskunftsersuche vorbereitet sein, bevor ihn das erste erreicht. Dafür sind sowohl technische als auch personelle Kapazitäten notwendig.
Hierbei stehen unsere Experten Ihnen gern zur Seite!