- DAZ.online
- DAZ / AZ
- AZ 34-35/2020
- Der datenschutzrechtliche...
Recht
Der datenschutzrechtliche Auskunftsanspruch
Wie Apothekenleiter Stolpersteine vermeiden können
Das Wissen darüber, wer auf welche Weise ihre personenbezogenen Daten verarbeitet, ist die Grundlage für die betroffene Person, ihre Datenschutzrechte ausüben zu können. Artikel 15 der Datenschutz-Grundverordnung (DSGVO) sieht daher das Recht vor, Auskunft darüber zu verlangen, ob und wie die eigenen personenbezogenen Daten durch Verantwortliche verarbeitet werden. Dieses Recht steht auch Arbeitnehmern gegenüber ihren Arbeitgebern zu und wird in der Praxis vor allem bei der Beendigung von Arbeitsverhältnissen geltend gemacht.
Worüber muss informiert werden?
In einer Entscheidung vom 5. März 2020 (Az. 9 Ca 6557/18) befasste sich das Arbeitsgericht Düsseldorf mit einem Auskunftsanspruch, den ein Arbeitnehmer gegenüber seinem ehemaligen Arbeitgeber erhob. Der Arbeitnehmer verlangte Auskunft über seine vom Arbeitgeber verarbeiteten personenbezogenen Daten. Der Arbeitgeber hätte daraufhin nach Art. 15 DSGVO Auskunft erteilen müssen, ob er personenbezogene Daten des Arbeitnehmers verarbeitet. Zudem hätte er informieren müssen über
- die Verarbeitungszwecke (z. B. Lohn- und Gehaltsabrechnung, Personalakte, Arbeitszeiterfassung, Arbeitszeugnis),
- die Kategorien personenbezogener Daten (z. B. Adressdaten, Geburtsdatum, Personalnummer, Zeugnisse),
- die Empfänger oder Kategorien von Empfängern der Daten (z. B. Kunden, Geschäftspartner, Krankenkassen, Sozialversicherungen),
- die geplante Speicherdauer, falls möglich, oder ansonsten die Kriterien für die Speicherdauer,
- das Bestehen der Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Widerspruch gegen die Datenverarbeitung,
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde,
- die Herkunft der Daten, falls sie nicht bei der betroffenen Person selbst erhoben werden,
- das Bestehen einer automatisierten Entscheidungsfindung,
- die Übermittlung von Daten in ein Drittland und die geeigneten Garantien hierfür.
Diese Informationen übermittelte der Arbeitgeber nicht vollständig, weshalb das Arbeitsgericht Düsseldorf ihn zur Erteilung der fehlenden Informationen verurteilte. Der Arbeitgeber hatte keine Auskunft zu den verarbeiteten Datenkategorien gegeben. Zudem waren nach Auffassung des Arbeitsgerichts Düsseldorf die vom Arbeitgeber erteilten Informationen zu den Verarbeitungszwecken zu pauschal gehalten. Es reicht nicht aus, dem Arbeitnehmer mitzuteilen, dass seine Daten für die Zwecke des Beschäftigungsverhältnisses, für dessen Abwicklung und Beendigung sowie zur Erfüllung bestehender rechtlicher Verpflichtungen und zur Wahrnehmung berechtigter Interessen verarbeitet werden. Die Angaben müssen so detailliert sein, dass der Arbeitnehmer sich ein Bild davon machen kann, wozu seine Daten verwendet werden. Im Beschäftigungsverhältnis können beispielsweise die Lohn- und Gehaltsabrechnung, die Arbeitszeiterfassung, die Personalakte oder die Arbeitsorganisation Verarbeitungszwecke sein. Werden Daten aufgrund berechtigter Interessen verarbeitet, sind die berechtigten Interessen zu benennen.
Frist von einem Monat
Die vom Arbeitgeber erteilte Auskunft war jedoch nicht nur unvollständig, sondern auch verspätet. Grundsätzlich ist die Auskunft ohne schuldhaftes Zögern und spätestens innerhalb eines Monats zu erteilen. Nur in begründeten Ausnahmefällen kann die Frist um zwei Monate verlängert werden, beispielsweise wegen einer besonderen Komplexität der zu erteilenden Auskünfte. Der Betroffene ist über die Verzögerung und über die Gründe dafür innerhalb eines Monats nach Eingang des Auskunftsbegehrens zu benachrichtigen.
5000 Euro Schadensersatz
Das Urteil des Arbeitsgerichts Düsseldorf ist eines der wenigen seit Geltung der DSGVO veröffentlichten Urteile, das dem Betroffenen einen Schadensersatz zu-spricht. Nach Art. 82 DSGVO hat jede Person, der wegen eines Verstoßes gegen das Datenschutzrecht ein Schaden entstanden ist, Anspruch auf Schadensersatz. Dieser Anspruch bezieht sich auch auf sogenannte immaterielle Schäden, also Schäden, die nicht Vermögenswerte, sondern beispielsweise Körper, Freiheit oder Ehre betreffen. Schmerzensgeld ist zum Beispiel ein Ersatz für immaterielle Schäden. Die DSGVO enthält keine konkreten Vorgaben zur Höhe des Schadensersatzes. Es wird daher darauf ankommen, wie die Rechtsprechung über Umfang und Höhe von Schadensersatzansprüchen entscheidet.
In dem vor dem Arbeitsgericht Düsseldorf verhandelten Fall verlangte der Arbeitnehmer aufgrund der unvollständig und verspätet erteilten Auskunft einen Schadensersatz in Höhe von 143.482,81 Euro, was einem Bruttojahresgehalt entsprach; verurteilt wurde der Arbeitgeber „nur“ zur Zahlung von 5000,00 Euro. Das Arbeitsgericht Düsseldorf stellte fest, dass ein Schadensersatzanspruch auch dann entsteht, wenn betroffene Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren. Dafür solle die betroffene Person einen wirksamen und vollständigen Ersatz erhalten. Als Zumessungskriterien für die Höhe des Schadensersatzes können nach Auffassung des Arbeitsgerichts Düsseldorf die Art, Schwere und Dauer des Verstoßes, der Grad des Verschuldens, Maßnahmen zur Minderung des Schadens, frühere Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten herangezogen werden.
Im konkreten Fall berücksichtigte das Arbeitsgericht Düsseldorf bei der Zumessung, dass das Auskunftsrecht ein bedeutsames Recht ist, der Verstoß einige Monate anhielt und der Arbeitgeber einen beträchtlichen Umsatz machte. Zugunsten des Arbeitgebers stellte das Arbeitsgericht in die Zumessung ein, dass dieser fahrlässig handelte und keine besonders sensiblen Daten betroffen waren. Betrifft die Auskunft auch Gesundheitsdaten, wie dies bei Auskunftsansprüchen von Apothekenkunden der Fall sein kann, wäre das nach Auffassung des Arbeitsgerichts also wegen der Sensibilität der Daten als erhöhender Faktor für den Schadensersatz einzubeziehen. Eine Orientierung der Schadenshöhe am Verdienst des Arbeitnehmers lehnte das Arbeitsgericht Düsseldorf dagegen ab.
Fazit: Frühzeitig Konzept entwickeln
Gegen das Urteil ist die Berufung eingelegt. Die Entscheidung zeigt aber, dass bei der unzureichenden Erfüllung von Betroffenenrechten nicht nur Bußgelder der Datenschutz-Aufsichtsbehörden, sondern auch Schadensersatzansprüche der Betroffenen drohen. Im vorliegenden Fall wäre der Schadensersatz durch eine rechtzeitige und umfassende Erfüllung des Auskunftsanspruchs zu vermeiden gewesen. Es ist daher zu empfehlen, sich in der Apotheke mit den Betroffenenrechten unabhängig von konkreten Anfragen von Kunden, ehemaligen Mitarbeitern oder anderen betroffenen Personen zu befassen und Prozesse zum Umgang damit zu etablieren. Neben dem Recht auf Auskunft können Personen, deren Daten die Apotheke verarbeitet, auch ein Recht auf Datenberichtigung (Art. 16 DSGVO), ein Recht auf Löschung personenbezogener Daten (Art. 17 DSGVO), ein Recht auf Einschränkung der Datenverarbeitung (Art. 18 DSGVO) sowie ein Recht auf Datenübertragung (Art. 20 DSGVO) geltend machen. Alle Rechte unterliegen spezifischen Voraussetzungen und der (kurzen) Reaktionsfrist von maximal einem Monat. Deshalb ist es sinnvoll, sich schon vorab ein Konzept zu schaffen, wie Anfragen beantwortet werden. Für die Beantwortung von Auskunftsbegehren stellt beispielsweise das Bayerische Landesamt für Datenschutzaufsicht Muster bereit (abrufbar unter https://www.lda.bayern.de/de/thema_auskunft.html). |
0 Kommentare
Das Kommentieren ist aktuell nicht möglich.