Datenschutz für Arbeitnehmer: Auskunftsrechte erfüllen
Ein Beitrag von Prof. Dr. Wedde
Die europäische Datenschutz-Grundverordnung (DSGVO) enthält in den Art. 13 bis 15 weitgehende Informations- und Auskunftsansprüche zugunsten der von der Verarbeitung ihrer Daten betroffenen Personen. Für Arbeitnehmerinnen und Arbeitnehmer werden diese Ansprüche durch bereichsspezifische Informationsrechte ergänzt, etwa das Einsichtsrecht in Personalakten nach § 83 BetrVG.
Erfüllt werden müssen diese Ansprüche von den durch Art. 4 Nr. 7 DSGVO bestimmten datenschutzrechtlichen Verantwortlichen. Im arbeitsrechtlichen Bereich sind diese in der Regel identisch mit den Arbeitgebern. Insbesondere der Auskunftsanspruch nach Art. 15 DSGVO ist weit gefasst und verpflichtet Verantwortliche beispielsweise zur Benennung der Verarbeitungszwecke und zur Auflistung der Kategorien personenbezogener Daten, die sie verarbeiten. Aufgrund der in Art. 12 Abs. 1 DSGVO enthaltenen Vorgaben müssen diese Auskünfte in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache übermittelt werden.
Machen Arbeitnehmer ihr Auskunftsrecht geltend, müssen Arbeitgeber sie vollständig über durchgeführte Verarbeitungen und die hiermit verfolgten Zwecke informieren. Zudem muss den Arbeitnehmern eine Zusammenstellung der verwendeten personenbezogenen Daten übergeben werden. Die Auskunft müssen Verantwortliche nach Art. 12 Abs. 3 DSGVO innerhalb eines Monats zu Verfügung stellen. Diese Frist kann um zwei Monate verlängert werden, wenn die Komplexität vorhandener Daten und die Zahl von Anträgen dies erforderlich macht. Über die Notwendigkeit einer solchen Fristverlängerung und über die Gründe für die Verzögerung müssen die Verantwortlichen die anfordernden Personen innerhalb eines Monats nach Eingang des Auskunftsantrags informieren.
Betriebliche Praxis: Probleme und Schadensersatzansprüche
In der betrieblichen Praxis kommt es insbesondere bei den ersten Auskunftsanträgen zu vielfältigen Problemen. Der Grund: Oft liegt in Betrieben und Unternehmen kein Überblick über die verarbeiteten personenbezogenen Daten vor. Hinzu kommt, dass die nach Art. 30 DSGVO zu führenden Verarbeitungsverzeichnisse teilweise nicht vorhanden oder unvollständig sind. Zum Fehlen festgelegter Auskunftsprozesse gesellt sich vielfach eine Unklarheit dazu, wer innerbetrieblich dafür verantwortlich ist, die erforderlichen Daten zusammen zu stellen. Ein klares Bild von der Situation im eigenen Zuständigkeitsbereich bekommen Verantwortliche, wenn sie testweise ein Auskunftsersuchen veranlassen und schauen, was dann passiert.
Fehlen Prozesse zur Erfüllung des Auskunftsanspruch nach in Art. 15 DSGVO und können Auskunftsersuchen deshalb nicht innerhalb der gesetzlich vorgegebenen Fristen erfüllt werden, kann dies nach Art. 82 DSGVO Schadensersatzansprüche auslösen. Das LAG Niedersachsen hat beispielsweise in einem Urteil vom 22.10.2021 (16 Sa 761/20) einem Arbeitnehmer einen Schadensersatzbetrag von 1.500 € zugesprochen, weil der Arbeitgeber ihm einerseits die angeforderte Datenschutzauskunft nicht vollständig erteilt hat und anderseits die durch Art. 12 Abs. 3 DSGVO vorgegebene Monatsfrist nicht eingehalten hat.
Auch wenn das Volumen der in diesem Rechtsstreit ausgeurteilten Summe überschaubar ist, verdeutlicht das Urteil, dass die in der DSGVO und dem BDSG enthaltenen Anforderungen und Vorgaben von Verantwortlichen ernst genommen werden müssen, um Schadensersatzansprüche zu vermeiden. Diese Feststellung gilt nach Art. 82 Abs. 2 DSGVO nicht nur bezüglich des Auskunftsanspruchs nach Art. 15 DSGVO, sondern auch für jede andere nicht der Verordnung entsprechenden Verarbeitung. Werden etwa die in Art. 5 Abs. 1 DSGVO enthaltenen allgemeinen Grundsätze nicht beachtet, kann dies ebenfalls eine Schadenersatzpflicht auslösen, deren Höhe sich nicht auf die vorstehend genannte Summe beschränken muss. Das damit bestehende Kostenrisiko lässt sich durch einen wirksamen und durchdachten Datenschutz deutlich reduzieren.