Recht

Der datenschutzrechtliche Auskunftsanspruch

Wie Apothekenleiter Stolpersteine vermeiden können

Nach der Datenschutz-Grund­verordnung können betroffene Personen Auskunft über die Verarbeitung ihrer personen­bezogenen Daten verlangen. Der Auskunftsanspruch ist auch in der Apotheke praktisch relevant. Nicht nur Kunden können diesen Anspruch geltend machen, sondern auch Mitarbeiter. Eine Entscheidung des Arbeitsgerichts Düsseldorf zeigt nun einige zu vermeidende Stolpersteine bei der Erteilung der Auskunft auf.

Das Wissen darüber, wer auf welche Weise ihre personenbezogenen Daten verarbeitet, ist die Grundlage für die betroffene Person, ihre Datenschutzrechte ausüben zu können. Artikel 15 der Datenschutz-Grundverordnung (DSGVO) sieht daher das Recht vor, Auskunft darüber zu verlangen, ob und wie die eigenen per­sonenbezogenen Daten durch Verantwortliche verarbeitet werden. Dieses Recht steht auch Arbeit­nehmern gegenüber ihren Arbeitgebern zu und wird in der Praxis vor allem bei der Beendigung von Arbeitsverhältnissen geltend gemacht.

Worüber muss informiert werden?

In einer Entscheidung vom 5. März 2020 (Az. 9 Ca 6557/18) befasste sich das Arbeitsgericht Düsseldorf mit einem Auskunftsanspruch, den ein Arbeitnehmer gegenüber seinem ehemaligen Arbeitgeber erhob. Der Arbeit­nehmer verlangte Auskunft über seine vom Arbeitgeber verarbeiteten personenbezogenen Daten. Der Arbeitgeber hätte daraufhin nach Art. 15 DSGVO Auskunft erteilen müssen, ob er personenbezogene Daten des Arbeitnehmers verarbeitet. Zudem hätte er informieren müssen über

  • die Verarbeitungszwecke (z. B. Lohn- und Gehaltsabrechnung, Personalakte, Arbeitszeiterfassung, Arbeitszeugnis),
  • die Kategorien personenbezogener Daten (z. B. Adressdaten, Geburtsdatum, Personalnummer, Zeugnisse),
  • die Empfänger oder Kategorien von Empfängern der Daten (z. B. Kunden, Geschäftspartner, Krankenkassen, Sozialversicherungen),
  • die geplante Speicherdauer, falls möglich, oder ansonsten die Kriterien für die Speicherdauer,
  • das Bestehen der Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Widerspruch gegen die Datenverarbeitung,
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde,
  • die Herkunft der Daten, falls sie nicht bei der betroffenen Person selbst erhoben werden,
  • das Bestehen einer automatisierten Entscheidungsfindung,
  • die Übermittlung von Daten in ein Drittland und die geeigneten Garantien hierfür.

Diese Informationen übermittelte der Arbeitgeber nicht vollständig, weshalb das Arbeitsgericht Düsseldorf ihn zur Erteilung der fehlenden Informationen verurteilte. Der Arbeitgeber hatte keine Auskunft zu den verarbeiteten Datenkategorien gegeben. Zudem waren nach Auffassung des Arbeitsgerichts Düsseldorf die vom Arbeitgeber erteilten Informationen zu den Verarbeitungszwecken zu pauschal gehalten. Es reicht nicht aus, dem Arbeitnehmer mitzuteilen, dass seine Daten für die Zwecke des Beschäftigungsverhältnisses, für dessen Abwicklung und Beendigung sowie zur Erfüllung bestehender rechtlicher Verpflichtungen und zur Wahrnehmung berechtigter Interessen verarbeitet werden. Die Angaben müssen so detailliert sein, dass der Arbeitnehmer sich ein Bild davon machen kann, wozu seine Daten verwendet werden. Im Beschäf­tigungsverhältnis können beispielsweise die Lohn- und Gehalts­abrechnung, die Arbeitszeiterfassung, die Personalakte oder die Arbeitsorganisation Verarbeitungszwecke sein. Werden Daten aufgrund berechtigter Interessen verarbeitet, sind die berechtigten Interessen zu benennen.

Frist von einem Monat

Die vom Arbeitgeber erteilte Auskunft war jedoch nicht nur unvollständig, sondern auch verspätet. Grundsätzlich ist die Auskunft ohne schuldhaftes Zögern und spätestens innerhalb eines Monats zu erteilen. Nur in begründeten Ausnahmefällen kann die Frist um zwei Monate verlängert werden, beispielsweise wegen einer besonderen Komplexität der zu erteilenden Auskünfte. Der Be­troffene ist über die Verzögerung und über die Gründe dafür innerhalb eines Monats nach Eingang des Auskunftsbegehrens zu benachrichtigen.

Foto: freshidea – stock.adobe.com

5000 Euro Schadensersatz

Das Urteil des Arbeitsgerichts Düsseldorf ist eines der wenigen seit Geltung der DSGVO veröffentlichten Urteile, das dem Betroffenen einen Schadensersatz zu-spricht. Nach Art. 82 DSGVO hat jede Person, der wegen eines Verstoßes gegen das Datenschutzrecht ein Schaden entstanden ist, Anspruch auf Schadensersatz. Dieser Anspruch bezieht sich auch auf sogenannte immaterielle Schäden, also Schäden, die nicht Vermögenswerte, sondern beispielsweise Körper, Freiheit oder Ehre betreffen. Schmerzensgeld ist zum Beispiel ein Ersatz für immaterielle Schäden. Die DSGVO enthält keine konkreten Vorgaben zur Höhe des Schadensersatzes. Es wird daher darauf ankommen, wie die Rechtsprechung über Umfang und Höhe von Schadensersatzansprüchen entscheidet.

In dem vor dem Arbeitsgericht Düsseldorf verhandelten Fall verlangte der Arbeitnehmer aufgrund der unvollständig und verspätet erteilten Auskunft einen Schadensersatz in Höhe von 143.482,81 Euro, was einem Bruttojahresgehalt entsprach; verurteilt wurde der Arbeitgeber „nur“ zur Zahlung von 5000,00 Euro. Das Arbeitsgericht Düsseldorf stellte fest, dass ein Schadensersatzanspruch auch dann entsteht, wenn betroffene Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren. Dafür solle die betroffene Person einen wirksamen und vollständigen Ersatz erhalten. Als Zumessungskriterien für die Höhe des Schadensersatzes können nach Auffassung des Arbeitsgerichts Düsseldorf die Art, Schwere und Dauer des Verstoßes, der Grad des Verschuldens, Maßnahmen zur Minderung des Schadens, frühere Verstöße sowie die Kate­gorien der betroffenen personenbezogenen Daten herangezogen werden.

Im konkreten Fall berücksichtigte das Arbeitsgericht Düsseldorf bei der Zumessung, dass das Auskunftsrecht ein bedeutsames Recht ist, der Verstoß einige Monate anhielt und der Arbeitgeber einen beträchtlichen Umsatz machte. Zugunsten des Arbeitgebers stellte das Arbeitsgericht in die Zumessung ein, dass dieser fahrlässig handelte und keine besonders sensiblen Daten betroffen waren. Betrifft die Auskunft auch Gesundheitsdaten, wie dies bei Auskunftsansprüchen von Apothekenkunden der Fall sein kann, wäre das nach Auffassung des Arbeitsgerichts also wegen der Sensibilität der Daten als erhöhender Faktor für den Schadensersatz einzubeziehen. Eine Orientierung der Schadenshöhe am Verdienst des Arbeitnehmers lehnte das Arbeitsgericht Düsseldorf dagegen ab.

Fazit: Frühzeitig Konzept entwickeln

Gegen das Urteil ist die Berufung eingelegt. Die Entscheidung zeigt aber, dass bei der unzureichenden Erfüllung von Betroffenenrechten nicht nur Bußgelder der Datenschutz-Aufsichtsbehörden, sondern auch Schadensersatzansprüche der Betroffenen drohen. Im vorliegenden Fall wäre der Schadensersatz durch eine rechtzeitige und umfassende Erfüllung des Auskunftsanspruchs zu vermeiden gewesen. Es ist daher zu empfehlen, sich in der Apotheke mit den Betroffenenrechten unabhängig von konkreten Anfragen von Kunden, ehemaligen Mitarbeitern oder anderen betroffenen Personen zu befassen und Prozesse zum Umgang damit zu etablieren. Neben dem Recht auf Auskunft können Personen, deren Daten die Apotheke verarbeitet, auch ein Recht auf Datenberichtigung (Art. 16 DSGVO), ein Recht auf Löschung personenbezogener Daten (Art. 17 DSGVO), ein Recht auf Einschränkung der Datenverarbeitung (Art. 18 DSGVO) sowie ein Recht auf Datenübertragung (Art. 20 DSGVO) geltend machen. Alle Rechte unterliegen spezifischen Voraussetzungen und der (kurzen) Reaktionsfrist von maximal einem Monat. Deshalb ist es sinnvoll, sich schon vorab ein Konzept zu schaffen, wie Anfragen beantwortet werden. Für die Beantwortung von Auskunftsbegehren stellt beispielsweise das Bayerische Landesamt für Datenschutzaufsicht Muster bereit (abrufbar unter https://www.lda.bayern.de/de/thema_auskunft.html). |

Dr. Svenja Buckstegge, Oppenländer Rechtsanwälte Stuttgart

0 Kommentare

Das Kommentieren ist aktuell nicht möglich.