Mandanteninformation für Arbeitsrecht / Mandanteninformationen für Arbeitsrecht Oktober 2021

[Anrede]

Liebe Mandantin, lieber Mandant,

[Einführung – Standard]

auch im vergangenen Monat hat sich rund um Steuern, Recht und Betriebswirtschaft einiges getan. Über die aus unserer Sicht wichtigsten Neuregelungen und Entscheidungen halten wir Sie mit Ihren Mandanteninformationen gerne auf dem Laufenden. Zögern Sie nicht, uns auf einzelne Punkte anzusprechen, wir beraten Sie gerne.

Mit freundlichen Grüßen

1. Nicht erteilte Datenschutzauskünfte: Arbeitgeber muss Schadensersatz leisten

   Ein Auskunftsverlangen eines Arbeitnehmers sollte der Arbeitgeber sorgfältig erfüllen. Reagiert er ein halbes Jahr lang nicht und übersendet er dann nur Arbeitszeitnachweise, steht dem Arbeitnehmer wegen der unvollständigen Auskunft ein Schadensersatzanspruch zu.

   Hintergrund

   Eine bei einem ambulanten Pflegedienst beschäftigte Hauswirtschafterin erhielt am 30.1.2020 ihre Kündigung zum 29.2.2020. Sie machte noch am Tag des Kündigungszugangs unter Fristsetzung bis zum 13.2.2020 einen "Auskunftsanspruch nach der Datenschutzgrundverordnung (DSGVO) im Hinblick auf sämtliche bei Ihnen gespeicherten Daten, insbesondere die Daten der Arbeitszeiterfassung" geltend. Einen Tag später erhob sie zudem Kündigungsschutzklage. Im Rahmen des Kündigungsschutzprozesses im August 2020 beanspruchte sie wegen bis dahin immer noch nicht erteilter Auskunft auch die Zahlung eines in das Ermessen des Gerichts gestellten immateriellen Schadensersatzanspruchs auf der Grundlage von Art. 15 DSGVO.

   Nachdem der Arbeitgeber ein halbes Jahr lang auf das Auskunftsverlangen gar nicht reagiert hatte, übersandte er der Arbeitnehmerin im August 2020 ihre Arbeitszeitnachweise.

   Entscheidung

   Das Landesarbeitsgericht erkannte in dem Verhalten des Arbeitgebers einen Verstoß gegen die DSGVO und entschied, dass der Klägerin Schadensersatz zustand. Es begründetet den Schadensersatzanspruch damit, dass sich der DSGVO nicht entnehmen lässt, dass der Anspruch einen qualifizierten Verstoß gegen die DSGVO voraussetzt. Für die Annahme einer Erheblichkeitsschwelle oder die Ausnahme von Bagatellfällen gibt es keinen Anhaltspunkt. Der Schadensbegriff muss weit und auf eine Weise ausgelegt werden, die den Zielen der DSGVO in vollem Umfang entspricht.

   In jedem Arbeitsverhältnis verarbeitet der Arbeitgeber zwangsläufig personenbezogene Daten seiner Mitarbeitenden. Jeder Arbeitgeber erhebt, speichert und verwendet mindestens die Kontaktdaten, die Bankdaten zwecks Überweisung des Entgelts sowie die Anwesenheits- und Fehlzeitendaten seiner Mitarbeitenden. In welchem Umfang und in welchen Kategorien eine solche Verwendung erfolgt, ist Arbeitnehmenden nicht ohne Weiteres ersichtlich. Ebenso könnten Arbeitnehmende nicht von sich aus erkennen, ob Daten auch Dritten zur Verfügung gestellt und für welche Dauer – ggf. auch nach Beendigung des Arbeitsverhältnisses – diese Daten gespeichert bleiben.

   Der Arbeitgeber im vorliegenden Fall hatte im August 2020 lediglich Arbeitszeitnachweise übersandt, aber keine Informationen über weitere personenbezogene Daten der Arbeitnehmerin. Eine Kontrolle über diese Daten hatte die Arbeitnehmerin jedoch nicht, solange der Arbeitgeber seiner Auskunftspflicht nicht nachkommt. Der Beschäftigten fehlt dabei nicht nur die Kenntnis, welche Kategorien von Daten der Arbeitgeber formalisiert oder nicht formalisiert verarbeitet. Sie kann ebenso nicht beurteilen, wie lange solche Daten nach Beendigung des Arbeitsverhältnisses weiter gespeichert bleiben und an welche Dritte der Arbeitgeber solche Daten ggf. weiterreicht.

   Die Schwere des immateriellen Schadens, also das Gewicht der Beeinträchtigung, das die Arbeitnehmerin – subjektiv – wegen der bestehenden Unsicherheit und des Kontrollverlustes empfinden mag, war für die Begründung der Haftung nach Art. 82 Abs. 1 DSGVO und damit für die Frage des "Ob" eines entstandenen Schadens nicht erheblich. Das Landesarbeitsgericht bezifferte den Schaden auf 1.000 EUR.