Aber wir sind doch ein Team!

Vor einiger Zeit hatte ich ein Auskunftsersuchen nach Art. 15 DSGVO auf dem Tisch. Direkt zusammen mit einer anwaltlichen Vollmacht des Ex-Mitarbeiters. So mancher kennt das Gefühl, das sich da ausbreitet: Bloß jetzt nichts falsch machen.

 

Dabei sind die Fehler insbesondere beim Beschäftigten-Datenschutz oft schon im Vorfeld gemacht worden.

 

 

Was war passiert?

Ein ehemaliger Mitarbeiter war im Streit gegangen und wollte ein ihm seiner Ansicht nach noch zustehendes Restgehalt beanspruchen. Um seiner Forderung noch zusätzlich Nachdruck zu verleihen, beauftragte er den Anwalt auch gleich mit der Anfrage nach Auskunft zu seinen personenbezogenen Daten.

 

Ja ich weiß – zu ähnlich gelagerten Auskunfts-Ansprüchen nach Art. 15 gibt es inzwischen einige Gerichtsentscheidungen zu Einzelfällen (wie z.B. https://rewis.io/urteile/urteil/twl-23-02-2022-18-o-20421/), in denen die Auskunfts-Ansprüche abgelehnt wurden.

Datenschutz wird gerne missbräuchlich genutzt, weil es letztendlich nicht um die Möglichkeit geht, seine personenbezogenen Daten und deren Verarbeitung prüfen zu können, sondern um erweiterte Informationen zu anderen Anliegen (wie etwa ein Arbeitsrechts-Streit) oder einfach um Druck auszuüben.

 

Aber wer möchte es schon im ersten Schritt auf ein Gerichtsverfahren ankommen lassen, um solche Umstände zu klären? Und wieso rede ich hier von „Fehlern, die im Vorfeld schon gemacht wurden“?

 

Fehler Nr. 1 – die Prozesse

Natürlich kann man ganz entspannt die erforderliche Auskunft gewähren (egal welcher Zweck der Betroffenen eigentlich verfolgt wird). Hätte man nur als Verantwortlicher die geplanten Prozesse zur Umsetzung der Betroffenenrechte auch in der Praxis implementiert.

 

In vielen Organisationen kommt es aber tatsächlich nicht dazu. Es werden tolle Richtlinien erstellt und das war es dann. Die IT und die Fachabteilungen haben selten Zeit (und Lust), die notwendigen Aktionen umzusetzen.

 

Was bleibt ist manuelles, zeitaufwändiges und fehlerbehaftetes Klein-Klein bei der Suche nach den erforderlichen Informationen in den vielfältigsten Systemen und Umgebungen. Und bei der Anfertigung von Kopien, der internen Übermittlung dieser und bei der Prüfung, ob man dann nicht doch evtl. Rechte anderer Betroffener verletzen würde. Die Frist von 1 Monat wird dann plötzlich ganz eng.

 

Fehler Nr. 2 – der Human-Faktor

Hier spreche ich nicht nur von einem „typischen“ Datenschutz-Fehler wie mangelnde Prozesse, sondern vordringlich geht es hier um einen „menschlichen“ Fehler.

 

Immer wieder werde ich von meinen Kunden mit großen ungläubigen Augen angesehen, wenn ich darauf dränge, dass gesonderte Datenschutz-Hinweise für Beschäftigte gemacht werden und – wo nötig und sinnvoll – korrekte Einwilligungen von den Mitarbeiterinnen und Mitarbeitern eingeholt werden.

 

Man sei doch ein „Team“, eine „große Familie“, da will keiner dem anderen was Böses! Es würde vertrauensvoll zusammengearbeitet und alle ziehen an einem Strang, um den Erfolg des Unternehmens zu sichern!

 

Ich frage mich in solchen Fällen, wieso dann zwar umfangreiche Arbeitsverträge gemacht werden, das Thema Datenschutz aber allzu oft wie eine Absurdität betrachtet wird.

 

Passend dazu bin ich durch den Newsletter von Rechtsanwalt Dr. Bahr (www.dr-bahr.com, externer Link) auf ein Urteil des Landes-Arbeitsgerichts Kiel gestoßen.

 

Schadensersatzforderung wegen Werbevideo

Zwar geht es in dem Beschluss des LAG Kiel (https://rewis.io/urteile/urteil/kuk-01-06-2022-6-ta-4922/, externer Link, Rewi.io) nicht vordringlich darum, ob hier ein Schadenersatz nach Art. 82 DSGVO zulässig ist, aber der Streitfall zeigt recht schön, was passiert, wenn ein „Team“ sich plötzlich nicht mehr mit seinem Arbeitgeber versteht!.

 

Und es ist mit diesem Beispiel vielleicht auch für Verantwortliche nachvollziehbarer, wieso man diese seltsamen Datenschutz-Vorkehrungen unbedingt treffen sollte, um nicht allzu angreifbar zu sein. 

 

Hintergrund:

 

„[…] Die Klägerin war Arbeitnehmerin bei der Beklagten, einem mobilen Pflegedienst.

Die Beklagte drehte u.a. mit der Klägerin eine Werbevideo für ihr Unternehmen und veröffentlichte dies auf YouTube.

 

Sie unterließ dabei aber, die nach § 26 Abs. 2 BDSG notwendige schriftliche Einwilligung einzuholen und unterrichtete die Klägerin auch nicht konkret über den Verarbeitungszweck und das ihr zustehende Widerrufsrecht.

Nachdem die Klägerin gekündigt hatte, verlangte sie von der Beklagten wegen der Veröffentlichung des Videos nach Art. 82 DSGVO ein Schmerzensgeld iHv. 6.000,- EUR. Für diese Klage begehrte sie Prozesskostenhilfe. […]“ 
Quelle: RA Bahr, www.dr-bahr.com

 

Ich habe es doch gleich gesagt

Diese Aussage hört man nicht gerne, aber beim Beschäftigten-Datenschutz dürfte sie in vielen Fällen schneller berechtigt sein als angenommen.

 

Meiner Meinung nach verbergen sich bei den meisten Organisationen die wirklich „gefährlichen“ Stolperfallen vor allem im Beschäftigten-Datenschutz. Weil die Verantwortlichen sogar trotz negativer Erfahrungen mit ehemaligen Beschäftigten diesem Bereich nicht genügend Aufmerksamkeit schenken wollen. Sie finden es zu absurd, langjährigen Mitarbeiterinnen und Mitarbeitern jetzt plötzlich Datenschutz-Hinweise oder gar Einwilligungen vorzulegen.

 

Das kann sich sehr schnell als großer Fehler herausstellen.