Prof. Dr. jur. Tobias Huep
Die früher primär im BDSG gewährten Auskunfts-, Kontroll- und Korrekturrechte des Arbeitnehmers sind durch die Regelungen der DSGVO teils abgelöst worden. Das BDSG enthält dazu jedoch in den §§ 55 ff. BDSG ergänzende Regelungen, sodass hier beide Gesetze beachtet werden müssen.
Informations- und Auskunftsrechte des Arbeitnehmers
Die DSGVO gewährt umfassende Informationsrechte und Auskunftsrechte. Gemäß Art. 12–15 DSGVO müssen diese Informationen transparent, umfassend, unentgeltlich sowie in sprachlich verständlicher Form vom Arbeitgeber zur Verfügung gestellt werden. Gemäß Art. 13 DSGVO besteht bei der Erhebung von personenbezogenen Daten eine anfängliche Informationspflicht, insbesondere im Hinblick auf die Nennung der beteiligten Stellen, den Zweck der Datenerhebung und eventuelle dritte Empfänger der Daten.
Daneben enthält die DSGVO in den Art. 16–19 weitere Betroffenenrechte:
Die einschlägigen Regelungen des BDSG beinhalten den Anspruch auf:
- Allgemeine Informationen über die Datenverarbeitung (§ 55 BDSG)
- Auskunft über das "Ob" und weitere Details und Umstände der Datenverarbeitung (§ 57 BDSG)
- Berichtigung, Löschung und Einschränkung der Verarbeitung (§ 58 BDSG)
Soweit einzelne Regelungen in der DSGVO und dem BDSG kollidieren, hat die DSGVO grundsätzlich Vorrang.
Das Auskunftsrecht könnte zukünftig beschränkt werden in Fällen, in denen der betroffenen Person (dem Arbeitnehmer) durch die Auskunft ein Betriebs- oder Geschäftsgeheimnis des Verantwortlichen (des Arbeitgebers) oder eines Dritten (z. B. Kunden oder Lieferanten) offenbart würde und das Interesse an der Geheimhaltung das Interesse der betroffenen Person an der Information überwiegt. Die Neuregelungen präzisiert den bereits in der DSGVO vorgesehenen Schutz der Unternehmensinteressen an sensiblen Daten.
Persönlichkeitsrechte von Arbeitnehmern schützen
Personaldatenbanken sind als Personalakte anzusehen. Einer ungeschützten Aufbewahrung von Gesundheitsdaten in der Personalakte steht das durch Art. 2 Abs. 1 GG gewährleistete allgemeine Persönlichkeitsrecht des Arbeitnehmers entgegen. Es schützt vor der Erhebung und Weitergabe von Befunden über den Gesundheitszustand, die seelische Verfassung und den Charakter. Der Arbeitnehmer hat Anspruch auf Beseitigung einer Beeinträchtigung seines Persönlichkeitsrechts gemäß §§ 12, 862, 1004 BGB. Wie der Arbeitgeber den Schutz sensibler Personaldaten gewährleistet, hat er grundsätzlich selbst zu bestimmen. Unterbleibt diese Bestimmung, geht sie auf den Arbeitnehmer über.
Schadensersatzansprüche von Arbeitnehmern
Verletzungen der Pflichten aus der DSGVO sowie dem BDSG können gemäß Art. 82 DSGVO sowie § 83 BDSG zu Schadensersatzansprüchen des Arbeitnehmers gegenüber dem Arbeitgeber führen, sofern ein eventueller Schaden auf die nicht sorgfaltsgemäße Datenverarbeitung des Arbeitgebers zurückführbar ist. Dabei begründet § 83 Abs. 1 BDSG eine verschuldensunabhängige Haftung des Verantwortlichen in Fällen automatisierter Datenverarbeitung. Mehrere Verantwortliche haften dabei als Gesamtschuldner. Der Arbeitgeber trägt dagegen gemäß Art. 82 Abs. 3 DSGVO lediglich die Darlegungs- und Beweislast für sein sorgfaltsgemäßes Handeln; eine entsprechende Regelung enthält § 83 Abs. 1 Satz 2 BDSG nur für die nichtautomatisierte Datenverarbeitung. Inwieweit die Schadensersatzregelung in § 83 BDSG eine ausschließliche Regelung darstellt, insbesondere den auf § 823 Abs. 1 BGB gestützten Anspruch auf Geldentschädigung wegen einer schweren Persönlichkeitsrechtsverletzung verdrängt, ist derzeit offen, da § 83 Abs. 2 BDSG eine eigenständige Anspruchsgrundlage auch für immaterielle Schadensersatzansprüche enthält.
Ein solcher Schadensersatzanspruch kann auch bei der Nichterteilung des Auskunftsrecht über die Datenverarbeitung gemäß Art. 15 Abs. 1 DSGVO der Fall sein. Die in diesem Fall nach § 287 Abs. 1 Satz 1 ZPO vom Gericht festzusetzende Höhe ist mit 1.000 EUR ermessensfehlerfrei bestimmt. Der Schadensersatzanspruch bei einer rechtswidrigen Video-Überwachung am Arbeitsplatz wurde mit 650 EUR festgesetzt.
Diesbezüglich enthält § 44 Abs. 1 Satz 1 und Satz 2 BDSG eine für den Betroffenen günstige, alternativ wählbare Gerichtsstandsregelung für den Sitz der Niederlassung des datenverarbeitenden Unternehmens bzw. den Wohnsitz des Betroffenen.
Dokumentations- und Organisationspflichten des Arbeitgebers
Die bisherigen Meldepflichten gemäß §§ 4a ff. BDSG a. F. sind abgelöst worden durch ein in den §§ 62 ff. BDSG vollkommen neu gestaltetes System von Pflichten sowohl des für den Datenschutz Verantwortlichen als auch der von diesem eingeschalteten Auftragsverarbeiter. Entfallen ist dabei die pauschale Vorab-Meldepflicht. In der Neuregelung der DSGVO bzw. dem BDSG findet sich keine solche unmittelbare Folgeregelung...