Schadensersatzklagen zu DSGVO-Verstößen im Arbeitsverhältnis häufen sich und machen deutlich, dass die Nichteinhaltung der DSGVO- Datenschutzbestimmungen weitreichende Folgen haben kann. Die Aufsichtsbehörden verhängen bei DSGVO-Verstößen mitunter Bußgelder in Millionenhöhe.

Besonders im Berufsleben kommt dem Datenschutz eine besondere Bedeutung zu, weil eine Vielzahl von personenbezogenen Daten eine Rolle spielen: Krankheitstage, Fehlzeiten, Abmahnungen, Zeugnisse und Lebensläufe beispielsweise enthalten allesamt Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen und stellen damit personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO dar.

Sowohl den Arbeitgeber als auch den Arbeitnehmer treffen die Pflicht, äußerst sorgsam mit den ihnen anvertrauten Daten umzugehen. Für den Fall der Zuwiderhandlung sieht Art. 82 DSGVO unter bestimmten Voraussetzungen einen Schadensersatzanspruch für materiellen oder immateriellen Schaden vor.

Im Arbeitsverhältnis spielen im Umgang mit personenbezogenen Daten zwei Gesetz eine zentrale Rolle: Die Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG).

 Datenschutzverstoß: Definition

Ein Verstoß gegen den Datenschutz liegt vor, wenn personenbezogene Daten unrechtmäßig oder nicht bestimmungsgemäß verarbeitet werden. Dabei sind verschiedene Arten von Datenschutzverstößen zu unterscheiden, die unterschiedliche Auswirkungen haben können. Dazu zählen:

1. Verstoß gegen die Privatsphäre: Der Arbeitgeber verstößt hiergegen beispielsweise, wenn er Daten ohne Einwilligung des Betroffenen erhebt, speichert oder verwendet.
2. Verstoß gegen Sicherheitsmaßnahmen: Der unautorisierte Zugriff oder die unbefugte Weitergabe von personenbezogenen Daten. Schaut beispielsweise ein Polizeibeamter aus reinem Eigeninteresse zur Abfrage privater Daten in die Datenbank des Kraftfahrtbundesamtes, dessen Zugang ihm für seine dienstlichen Aufgaben zur Verfügung gestellt wurde, liegt ein Verstoß vor.
3. Verstoß gegen Informationspflichten: Der Arbeitgeber ist verpflichtet, seinen Beschäftigten Auskünfte darüber zu erteilen, welche personenbezogenen Daten von ihm verarbeitet werden.
4. Verstoß gegen die Rechte der Betroffenen: Als Betroffener haben Sie das Recht auf Auskunft, Berichtigung oder Löschung ihrer Daten.

Konsequenzen für Beschäftigte

Ein Verstoß gegen Datenschutzvorschriften kann für den Mitarbeiter erhebliche Konsequenzen nach sich ziehen. Zum einen können ihn Disziplinarmaßnahmen seines Arbeitgebers in Form einer Abmahnung oder sogar Kündigung treffen. Zum anderen sind bei grob fahrlässigem oder sogar vorsätzlichem Handeln Schadensersatzansprüche denkbar.  Neben der zivilrechtlichen Haftung kann der Arbeitnehmer zusätzlich auch strafrechtlich zur Verantwortung gezogen werden. Eine Geld- oder sogar Freiheitsstrafe sind bei schwerwiegenden Verstößen möglich.

1. Disziplinarmaßnahmen des Arbeitgebers:

Der Arbeitgeber kann auf einen arbeitnehmerseitigen Verstoß von Datenschutzvorschriften mit einer Abmahnung oder sogar verhaltensbedingten Kündigung des Beschäftigten reagieren. In schwerwiegenden Fällen kann sogar eine außerordentliche Kündigung in Betracht kommen. Ob der Verstoß gegen Datenschutzvorschriften eines Arbeitnehmers dessen außerordentliche, fristlose Kündigung rechtfertigen, richtet sich immer nach den Umständen des Einzelfalls. Dazu muss der Verstoß einen gewichtigen Grund im Sinne von § 626 Abs. 2 BGB darstellen. 

2. Schadensersatzansprüche gegen den Mitarbeiter: Nur im Falle des Mitarbeiterexzesses

Grundsätzlich haftet das Unternehmen gegenüber Dritten für das Fehlverhalten seiner Angestellten. Kann der Arbeitgeber seinen Arbeitnehmer in Regress nehmen? Für Arbeitsverhältnisse gelten die besondere Haftungsgrundsätze des innerbetrieblichen Schadensausgleichs, die sich nach dem Grad des Verschuldens des Arbeitnehmers richten. Demnach haftet der Arbeitnehmer je nach Vorwerfbarkeit seines Verhaltens gar nicht, nur anteilig oder in voller Höhe.

Leichte Fahrlässigkeit: Arbeitnehmer haftet nicht

Mittlere Fahrlässigkeit: Arbeitnehmer haftet hälftig neben dem Arbeitgeber

Grobe Fahrlässigkeit und Vorsatz: Der Arbeitnehmer haftet in voller Höhe.

Folglich haftet der Mitarbeiter lediglich, wenn er im Exzess gegen datenschutzrechtliche Vorschriften verstößt. Ein solcher liegt vor, wenn Beschäftigte personenbezogene Daten in einer Weise verarbeiten oder nutzen, die bei verständiger Würdigung nicht mehr dem Arbeitgeber als Verantwortlichem zugerechnet werden können. Häufig ist Eigennutz das Motiv für den Exzess.

Ein Beispiel für einen solchen Exzess stellt das Fehlverhalten eines Restaurant-Mitarbeiters dar, der während der Corona-Pandemie Daten aus der Kontaktnachverfolgung für private Zwecke nutze, um Kontakt zu einer Restaurant-Besucherin aufzunehmen. Darin ist ein Verstoß gegen den Zweckbindungsgrundsatz gemäß Art. 5 Abs. 1 lit. b) DSGVO zu sehen, der nach Art. 83 Abs. 5 lit. a) DSGVO geahndet wird.

Datenschutzverstößen vorbeugen

Allerdings muss der Arbeitgeber selbst sicherstellen, dass er die Einhaltung des Datenschutzes ausreichend kontrolliert und angemessene Sicherheitsvorkehrungen getroffen hat, um eine Mitverantwortung aufgrund von Datenpannen auszuschließen. Dazu empfiehlt es sich beispielsweise, dass der Arbeitgeber seinen Beschäftigten regelmäßig die Teilnahme an Schulungen zum Thema Datenschutz und IT-Sicherheit ermöglicht, wodurch bei seinen Mitarbeitern frühzeitig ein Risiko- und Sicherheitsbewusstsein entwickelt wird.

Konsequenzen für Arbeitgeber

Für den Arbeitgeber kann der Verstoß gegen Datenschutzvorschriften ernsthafte Konsequenzen haben, die zum Teil in teuren Geldbußen münden. Art. 83 DSGVO sieht Geldbußen bis zu 20 Mio. Euro oder in Höhe von 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres eines Unternehmens vor – je nachdem welcher Wert höher ausfällt.

Nachfolgende Praxisbeispiele verdeutlichen, wie wichtig ein sensibler Umgang mit personenbezogenen Daten ist:

Das Bundesarbeitsgericht (BAG) sprach einem Arbeitnehmer zuletzt in seinem Urteil vom 25.07.2024, 8 AZR 225/23 einen Schadensersatzanspruch aus Art. 82 DSGVO gegen seinen Arbeitgeber zu, der die Gesundheitsdaten seines Angestellten rechtswidrig verarbeitete. Das den Schadensersatz begründende Verhalten des Arbeitgebers bestand darin, dass er eine Detektei beauftragte, die seinen Angestellten im Zeitraum einer Arbeitsunfähigkeit heimlich observierte, um den Verdacht vorgetäuschter Arbeitsunfähigkeit zu bestätigen.

Über mehrere Tage observierte die Detektei den Angestellten und dokumentierte seinen sichtbaren Gesundheitszustand. Die erhobenen Daten nahm der Arbeitgeber sodann zum Anlass, die fristlose Kündigung des Mitarbeiters wegen des Verdachts vorgetäuschter Arbeitsunfähigkeit auszusprechen. Dagen wehrte sich der Arbeitnehmer erfolgreich mittels Kündigungsschutzklage und verlangte zudem Schadensersatz wegen Verstoßes gegen die DSGVO durch unrechtmäßiges Erheben von Gesundheitsdaten. Die Erfurter Richter des BAG sprachen dem Arbeitnehmer einen Schadensersatzanspruch in Höhe von 1.500 Euro zu. Sie betonten, dass die Einschaltung einer Detektei nur gerechtfertigt sei, wenn dies im Sinne von Art. 9 Abs. 2 b DSGVO erforderlich ist. Die Erforderlichkeit sei lediglich in Ausnahmefällen zu bejahen, wenn der Beweiswert einer Arbeitsunfähigkeitsbescheinigung durch konkrete Zweifel erschüttert wurde und mildere Maßnahmen nicht zur Verfügung stünden. Das Urteil macht deutlich, wie wichtig es ist, dass sich Arbeitgeber an die Datenschutzbestimmungen halten, um sich vor der Gefahr von Schadensersatzansprüchen zu schützen. Das Urteil setzt klare Grenzen für die heimliche Überwachung von Angestellten.

Mit Urteil vom 17. Oktober 2024 (Az. 8 AZR 215/23) betonte das BAG besonders die Notwendigkeit eines tatsächlich erlittenen Schadens für die Begründung des Schadensersatzanspruchs aus Art. 82 DSGVO und erhöht damit wiederum die Hürden des Anspruchs.

In dem hier zugrundeliegenden Fall verlangte der als Auszubildende angestellte Arbeitnehmer eines Fitnessstudiobetreibers (im Folgenden: Arbeitgeber) Schadensersatz aus Art. 82 DSGVO, weil er sich in seinem Auskunftsrecht aus Art. 15 DSGVO verletzt sah. Er verlangte von seinem Arbeitgeber die Auskunft über gespeicherte personenbezogene Daten, die sich auf einem vom Kläger privat genutzten USB- Stick befanden, den der Arbeitgeber aber zuvor an sich genommen hatte, weil er den Verdacht hegte, der Auszubildene habe darauf in unzulässiger Weise Mitgliederdaten gespeichert.

Der USB-Stick enthielt private Fotos, Videos und Bewerbungsunterlagen. Die Befürchtung der missbräuchlichen Verwendung dieser sensiblen Daten lösten bei dem Kläger eine nervliche Belastung und ein Gefühl des Unwohlseins aus.

Die Forderung von Schadensersatz in Höhe von 5.000 Euro wies das Arbeitsgericht zunächst ab, woraufhin das Landesarbeitsgericht der Berufung des Klägers stattgab. Das BAG versagte dem Kläger jedoch höchstrichterlich den Anspruch auf Ersatz eines immateriellen Schadens, weil der Kläger einen Schaden nicht hinreichend greifbar darlegen konnte, so die Erfurter Richter.

Die Angst vor dem Datenmissbrauch in Verbindung mit einem Gefühl des Unwohlseins reichen nicht aus, um einen Schadensersatzanspruch zu begründen. Zwar könne der erlittene Schaden noch so klein sein, allerdings genüge das bloße Berufen auf eine Gefühlslage nicht. Vielmehr muss sich der Schaden nachweisbar in einem tatsächlich erlittenen, spürbaren Unwohlsein manifestieren, um der Ausgleichsfunktion des Schadensersatzanspruchs zu entsprechen.

Dieses Artikel soll erste Hinweise und einen Überblick zum Datenschutz im Arbeitsverhältnis geben, erhebt dabei jedoch nicht den Anspruch der Vollständigkeit. Für weitergehende Informationen melden Sie sich gerne bei uns!