Datenschutzverstöße und ihre Konsequenzen im Arbeitsleben:
Immer häufiger kommt es zu Schadensersatzklagen aufgrund von DSGVO-Verstößen im Arbeitsverhältnis. Dabei wird deutlich, dass die Nichteinhaltung der Datenschutzbestimmungen sowohl für den Arbeitnehmer als auch den Arbeitgeber ernsthafte Folgen haben kann.
Im Berufsleben spielt der Datenschutz deshalb eine besondere Rolle, weil zahlreiche sensible Informationen verarbeitet werden. Dabei ist der verantwortungsvolle Umgang mit personenbezogenen Daten wie Krankheitstagen, Fehlzeiten, Abmahnungen, Zeugnissen oder Lebensläufen wichtig. Auch Geschäftsgeheimnisse, interne Abläufe, Kundendaten etc. unterliegen dem Datenschutz und müssen von den Mitarbeitenden eines Unternehmens sorgsam behandelt werden. Arbeitnehmer riskieren bei Verstößen ansonsten Abmahnungen, Kündigungen sowie Schadensersatzansprüche und bei grober Fahrlässigkeit oder vorsätzlichem Handeln sogar Strafen. Arbeitgeber müssen bei Zuwiderhandlungen mit hohen Bußgeldern (bis zu 20 Mio. € oder 4 % des Jahresumsatzes) und Schadensersatzforderungen rechnen.
Nachfolgende Praxisbeispiele machen deutlich, wie wichtig ein sensibler Umgang mit personenbezogenen Daten ist. Die stattgegebenen Schadensersatzansprüche ufern dabei beruhigender Weise aber bisher nicht aus; vielmehr hat das BAG in seinem jüngsten Urteil v. 17. 10.24 (Az. 8 AZR 215/23) zum Datenschutz im Arbeitsverhältnis klargestellt, dass an den erlittenen Schaden konkrete Anforderungen gestellt werden.
BAG: Schadensersatz wegen DSGVO-Verstoßes durch unzulässige Überwachung eines Arbeitnehmers durch vom Arbeitgeber beauftragte Detektei
Das Bundesarbeitsgericht (BAG) sprach einem Arbeitnehmer zuletzt in seinem Urteil vom 25.07.2024, 8 AZR 225/23 einen Schadensersatzanspruch aus Art. 82 DSGVO gegen seinen Arbeitgeber zu, der die Gesundheitsdaten seines Angestellten rechtswidrig verarbeitete. Das den Schadensersatz begründende Verhalten des Arbeitgebers bestand darin, dass er eine Detektei beauftragte, die seinen Angestellten im Zeitraum einer Arbeitsunfähigkeit heimlich observierte, um den Verdacht vorgetäuschter Arbeitsunfähigkeit zu bestätigen.
Über mehrere Tage observierte die Detektei den Angestellten und dokumentierte seinen sichtbaren Gesundheitszustand. Die erhobenen Daten nahm der Arbeitgeber sodann zum Anlass, die fristlose Kündigung des Mitarbeiters wegen des Verdachts vorgetäuschter Arbeitsunfähigkeit auszusprechen. Dagen wehrte sich der Arbeitnehmer erfolgreich mittels Kündigungsschutzklage und verlangte zudem Schadensersatz wegen Verstoßes gegen die DSGVO durch unrechtmäßiges Erheben von Gesundheitsdaten. Die Erfurter Richter des BAG sprachen dem Arbeitnehmer einen Schadensersatzanspruch in Höhe von 1.500 Euro zu. Sie betonten, dass die Einschaltung einer Detektei nur gerechtfertigt sei, wenn dies im Sinne von Art. 9 Abs. 2 b DSGVO erforderlich ist. Die Erforderlichkeit sei lediglich in Ausnahmefällen zu bejahen, wenn der Beweiswert einer Arbeitsunfähigkeitsbescheinigung durch konkrete Zweifel erschüttert wurde und mildere Maßnahmen nicht zur Verfügung stünden. Das Urteil macht deutlich, wie wichtig es ist, dass sich Arbeitgeber an die Datenschutzbestimmungen halten, um sich vor der Gefahr von Schadensersatzansprüchen zu schützen. Das Urteil setzt klare Grenzen für die heimliche Überwachung von Angestellten.
Schaden muss konkret entstanden sein
Mit Urteil vom 17. Oktober 2024 (Az. 8 AZR 215/23) betonte das BAG besonders die Notwendigkeit eines tatsächlich erlittenen Schadens für die Begründung des Schadensersatzanspruchs aus Art. 82 DSGVO und erhöht damit wiederum die Hürden des Anspruchs.
In dem hier zugrundeliegenden Fall verlangte der als Auszubildende angestellte Arbeitnehmer eines Fitnessstudiobetreibers (im Folgenden: Arbeitgeber) Schadensersatz aus Art. 82 DSGVO, weil er sich in seinem Auskunftsrecht aus Art. 15 DSGVO verletzt sah. Er verlangte von seinem Arbeitgeber die Auskunft über gespeicherte personenbezogene Daten, die sich auf einem vom Kläger privat genutzten USB- Stick befanden, den der Arbeitgeber aber zuvor an sich genommen hatte, weil er den Verdacht hegte, der Auszubildende habe darauf in unzulässiger Weise Mitgliederdaten gespeichert.
Der USB-Stick enthielt private Fotos, Videos und Bewerbungsunterlagen. Die Befürchtung der missbräuchlichen Verwendung dieser sensiblen Daten lösten bei dem Kläger eine nervliche Belastung und ein Gefühl des Unwohlseins aus.
Die Forderung von Schadensersatz in Höhe von 5.000 Euro wies das Arbeitsgericht zunächst ab, woraufhin das Landesarbeitsgericht der Berufung des Klägers stattgab. Das BAG versagte dem Kläger jedoch höchstrichterlich den Anspruch auf Ersatz eines immateriellen Schadens, weil der Kläger keinen Schaden darlegen konnte, so die Erfurter Richter.
Die Angst vor dem Datenmissbrauch in Verbindung mit einem Gefühl des Unwohlseins reichen nicht aus, um einen Schadensersatz zu begründen. Zwar könne der erlittene Schaden noch so klein sein, allerdings genüge das bloße Berufen auf eine Gefühlslage nicht. Vielmehr muss sich der Schaden nachweisbar in einem tatsächlich erlittenen, spürbaren Unwohlsein manifestieren, um der Ausgleichsfunktion des Schadensersatzanspruchs zu entsprechen.
Ihr Fachanwalt für Arbeitsrecht in Hamburg
erbringt rechtliche Leistungen für Arbeitnehmer, Geschäftsführer und Arbeitgeber
- Prozessführung vor Arbeitsgerichten
- Abwehr und Verteidigung von Kündigungen
- Verhandlung von Abfindungen
- Erstellung und Prüfung von Arbeitsverträgen
- Verhandlung und Gestaltung von Aufhebungsverträgen
