Zum Inhalt springen

Arbeitsrecht: DSGVO: Der Anspruch auf Datenkopie und Schadensersatz gegen den Arbeitgeber

Art. 15 I DSGVO (Auskunftsanspruch)
− „Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten (pbD) verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese
Daten und auf folgende Informationen (…)“

Art. 15 III DSGVO (Kopieanspruch)
− „Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung“ (…).

Nach dem Willen des Gesetzgebers sollte eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können.

Sinn und Zweck

Ergänzung der aktiven Informationspflichen (Art. 13, 14 DSGVO) nur auf ausdrücklichen Antrag des Betroffenen
− Schaffung von Transparenz Betroffener soll Klarheit hinsichtlich der über ihn gespeicherten Informationen
erhalten (so bereits ausdrücklich in Art. 8 II 2 EU-GRC)
− Hilfsanspruch zur Geltendmachung datenschutzrechtlicher Ansprüche zB Berichtigung, Löschung, Widerruf der Einwilligung, Schadensersatz
− Anspruch auf Überlassung einer Kopie der Daten (Art. 15 III DSGVO) soll dem Betroffenen Überprüfung ermöglichen, ob die ihm mitgeteilten Informationen nach Art. 15 I DSGVO zutreffen, Überlassung einer „Ablichtung konkreter Dokumente“, falls dies gewünscht wird (OVG Münster 8.6.2021 – 16 A 1582/20),

Auskunftsanspruch

kann jederzeit und formlos per Post, per Fax oder elektronisch geltend gemacht werden (vgl. EG 63 S. 1 DSGVO):

  • welche pbD der Verantwortliche verarbeitet
  • Auskunft über Metadaten (§ 15 I 2 DSGVO)
  • Aushändigung einer Kopie der erfragten pbD

Antwort

Verantwortlicher ist in allen Fällen verpflichtet, spätestens innerhalb eines Monats (vgl. Art. 12 III 1 DSGVO) auf das Auskunftsbegehren zu reagieren. Die Reaktion kann sein:
− Erteilung eines Negativattestes, d. h. Mitteilung, dass von der betroffenen Person keine pbD verarbeitet werden (Art. 15 I HS 1 DSGVO)
− Informationen über eine Verlängerung der Auskunftsfrist um maximal zwei weitere Monate wegen Komplexität und/oder Anzahl der vorliegenden Anträge (Art. 12 III 2 DSGVO)
− Erteilung der gewünschten Auskunft oder Auskunftsverweigerung, wenn sie die Rechte einer anderen Person beeinträchtigen würde (Art. 15 IV DSGVO)., zB Stammdaten und alle Informationen, die in einer Personalakte enthalten sind
− Alle Medien, in denen Beschäftigtendaten gespeichert sind: dienstliche Emails, ärztliche Unterlagen, Gutachten, Videoaufnahmen, Protokolle von Befragungen im Rahmen unternehmensinterner Ermittlungen, interne Vermerke
(LAG BaWü, NZA-RR 2019, 242; BGH 15.6.2021, NJW 2021, 2726 Rn. 24 ff.)

Die Antwort muss verständlich sein. Bei umfangreichen Datenbeständen kann sie sich nicht in einer bloßen
Aneinanderreihung erschöpfen.
− Der Verantwortliche muss die Auskunft vielmehr aufbereiten und erläutern, um der betroffenen Person einen Überblick in vertretbarer Zeit und mit vertretbarem Aufwand zu ermöglichen (ArbG Düsseldorf, 5.3.2020, NZA-RR 2020).

Metainformationen

Verarbeitungszwecke
• Kategorien der verarbeiteten pbD
• Empfänger/Kategorien von Empfängern, denen die pbD offengelegt worden sind oder noch offengelegt werden (auch in Drittländern)
• geplante Dauer, für die die pbD gespeichert werden bzw. Kriterien für deren Festlegung
• Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung, Widerspruch gegen Verarbeitung
• Bestehen eines Beschwerderechts bei Aufsichtsbehörde
• Falls pbD nicht bei der betroffenen Person erhoben werden: alle Informationen über die Herkunft der Daten
• Bei automatisierter Entscheidungsfindung einschließlich Profiling: aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für Betroffenen

Klageantrag in LAG BaWü 17.4.2021, NZA-RR 2021, 410:

  1. die Beklagte zu verurteilen, dem Kläger Auskunft über die von ihr verarbeiteten und
    nicht in der Personalakte des Klägers gespeicherten personenbezogenen Leistungs- und
    Verhaltensdaten des Klägers zu erteilen, im Hinblick auf
    − die Zwecke der Datenverarbeitung,
    − die Empfänger, gegenüber denen die Beklagte die personenbezogenen Daten des
    Klägers offengelegt habe oder noch offenlegen werde,
    − die Speicherdauer oder falls dies nicht möglich ist, Kriterien für die Festlegung der
    Dauer,
    − die Herkunft der personenbezogenen Daten des Klägers, soweit die Beklagte diese nicht
    bei dem Kläger selbst erhoben habe und
    − das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling sowie
    aussagekräftiger Informationen über die involvierte Logik sowie die Tragweite und die
    angestrebten Auswirkungen einer derartigen Verarbeitung,
  2. die Beklagte zu verurteilen, dem Kläger eine Kopie seiner personenbezogenen
    Leistungs- und Verhaltensdaten, die Gegenstand der von ihr vorgenommenen
    Verarbeitung seien, zur Verfügung zu stellen.

Erfüllung

− Wer Auskunft verlangt, kann weitgehend bestimmen, auf welchem Weg er die
Auskunft erhält.
− Wer einen Brief schreibt, wird die Auskunft in Papierform erhalten, es sei denn,
er hat sich ausdrücklich die elektronische Kommunikation (etwa per E-Mail)
gewünscht (Art. 12 I 2 DSGVO).
− Wer per E-Mail Auskunft begehrt, hat einen Anspruch darauf, auch die Auskunft
per E-Mail zu erhalten (s. Art. 15 III 3 DSGVO)
− Erste „Kopie“ muss dem Betroffenen kostenlos zur Verfügung gestellt werden:
Verantwortlicher darf weder Bearbeitungskosten für den Auskunftsvorgang an sich
noch Kosten für Druck oder Porto verlangen.
− Für „weitere Kopien“ der Daten hat Verantwortlicher Anspruch auf ein
„angemessenes Entgelt auf Grundlage der Verwaltungskosten“ (Art. 15 III 1,2 DS-GVO).

Schadensersatz wegen eines DSGVO-Verstoßes

Haftung auf Schadensersatz nach Art. 82 DSGVO
(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder den Auftragsdatenverarbeiter.
(2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser VO entsprechende Verarbeitung verursacht wurde. (…)

Auf die Voraussetzungen des Schadensersatzanspruchs soll nur kurz eingegangen werden. Zu unterschiedlich sind die Meinungen in der Literatur und Rechtsprechung zu diesem Thema wichtig im Arbeitsergebnis ist, dass Bundesarbeitsgericht nur einen Rechtsverstoß gegen die Datenschutz Grundverordnung verlangt. Es muss nicht dargelegt werden, dass man auch gelitten habe.

Höhe des Schadensersatzanspruch

Auch Schadensersatzanspruchs ist höchst umstritten. Anhaltspunkte dafür gibt die 1. Entscheidung auf dem Gebiet des Arbeitsrechts, die wohl als richtungsweisend bezeichnet werden kann:
− ArbG Düsseldorf (NZA-RR 2020, 409) spricht 5.000 Euro zu:
− für die ersten zwei Monate der verspäteten Auskunft jeweils 500 Euro
− für die weiteren etwa drei Monate jeweils 1000 Euro
− für die beiden inhaltlichen Mängel der Auskunft jeweils 500 Euro