1. Too much information
Der Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO erfreute sich im Jahr 2021 wachsender Beliebtheit bei Beschäftigten. Vor allem Kündigungsschutzprozesse wurden und werden gern begleitet von Informationsansprüchen gemäß Datenschutzgrundverordnung (DSGVO). Deshalb hat Ende letzten Jahres eine Entscheidung des Bundesarbeitsgerichts für Erleichterung in vielen HR Abteilungen gesorgt, wie wir bereits berichtet haben: Danach müssenKlageparteien einen solchen Auskunftsanspruch konkret und bestimmt bezeichnen. Ansonsten ist ihre Klage unzulässig und das Unternehmen kann die Auskunft verweigern.
Der zweite Senat blieb damit seiner Linie treu: Schon zur Datenkopie nach Art. 15 Abs. 3 DSGVO hatten die obersten Arbeitsrichter in Erfurt entschieden, dass nicht pauschal eine Kopie des gesamten E-Mail-Verkehrs verlangt werden kann. Insbesondere nicht auch noch neben allen E-Mails, in denen der Antragsteller persönlich erwähnt wird. (Urteil vom 27.04.2021 – Az.: 2 AZR 342/20). Wesentliche Begründung: Ein antragsgemäßes Urteil sei nicht vollstreckbar, weil es nach § 253 Abs. 2 Nr. 2 ZPO an einem hinreichend bestimmten Klageantrag fehle. Stattdessen müsse der Kläger konkret benennen, von welchen E-Mails er denn eine Kopie erhalten wolle.
Stufenklage erforderlich
Im aktuellen Fall entschied das Bundesarbeitsgericht: Klagewillige Beschäftigte könnten ihr Begehren mittels einer Stufenklage gemäß § 254 ZPO durchsetzen. Diese ist zunächst auf Erteilung einer Auskunft zu richten, welche E-Mails der fraglichen Kategorie die Beklagte verarbeitet. Auf der zweiten Stufe kann gegebenenfalls auf Versicherung an Eides statt geklagt werden, dass die Auskunft zutreffend und vollständig ist. Auf der dritten Stufe kann der Kläger dann die Überlassung einer Kopie derjenigen E-Mails beantragen, die sich aus der Auskunft ergeben. Die Konsequenz für die HR Praxis: Arbeitgebende dürfen pauschale und unpräzise Auskunftsbegehren nach Art. 15 Abs. 1 DSGVO zurückweisen.
Aber wann ist die konkrete Anfrage zu pauschal und wann nicht? Entscheidend ist: Lässt sich ohne weiteres Nachfragen klar abgrenzen, über welche konkreten Daten der Kläger Auskunft begehrt? Die bloß abstrakte Nennung der (Daten-)Kategorien von E-Mails genügt jedenfalls laut Bundesarbeitsgericht nicht.
Auskunftsbegehren für Nachweis von Überstunden ist rechtsmissbräuchlich
Laut LAG Sachsen scheidet ein Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO auch aus, wenn ein Arbeitnehmer die Informationen verwenden will, um gegenüber dem Arbeitgeber Überstunden nachzuweisen (Urteil vom 17.02.2021, Az.: 2 Sa 63/20). Dies sei rechtsmissbräuchlich und vom Zweck der DSGVO nicht gedeckt, so die Arbeitsrichter in Chemnitz. Ein Arbeitnehmer habe selbst zu beweisen, wann und in welchem Umfang er Überstunden auf Veranlassung des Arbeitgebers geleistet habe.
Erfolgreiche Abwehr im Vorfeld
Wie können sich Unternehmen gegen unbegründete Auskunftsansprüche wappnen? Für pauschale Anfragen sollten HR Verantwortliche ein Standardschreiben aufsetzen, dass die Auskunft mangels Präzisierung nicht erteilt werden kann. Um mehr über die Motivation zu erfahren, sollte der Text einen Hinweis an den Arbeitnehmer oder die Arbeitnehmerin enthalten, das Auskunftsverlangen zu konkretisieren. Mit Blick auf etwaige Schadensersatzansprüche sollten HR Manager eine proaktive Strategie entwickeln und standardisierte Prozesse implementieren: Welche Mitarbeiter sind zuständig für Auskunftsansprüche? Woran können sie ein rechtsmissbräuchliches Auskunftsverlangen erkennen? Ist die Dokumentation entsprechender Anhaltspunkte gewährleistet? Wie lässt sich sicherstellen, dass die Monatsfrist gemäß Art. 12 Abs. 3 Satz 1-3 DSGVO eingehalten wird?
2. Nicht zielführend: DGB-Gesetzentwurf zum Beschäftigtendatenschutz
Laut Koalitionsvertrag sind Rechtsklarheit und effektiver Schutz der Persönlichkeitsrechte erklärte Ziele der Ampel beim Arbeitnehmerdatenschutz. Nach mehreren vergeblichen Anläufen für ein Gesetz zum Beschäftigtendatenschutz hatte Mitte Januar der unabhängige interdisziplinäre Beirat zum Beschäftigtendatenschutz Thesen und Empfehlungen an Bundesarbeitsminister Hubertus Heil übergeben. Anfang Februar legten der Deutsche Gewerkschaftsbund (DGB) und seine Mitgliedsgewerkschaften einen Entwurf vor, um den Arbeitnehmerdatenschutz verbindlich zu regeln. Dies sei notwendig, weil Arbeitgeber immer häufiger digitale Methoden nutzten, um Beschäftigte zu überwachen oder personenbezogene Daten über sie zu sammeln.
Schlimmstenfalls droht Gefängnis
Von mehr Rechtsklarheit könnten sowohl Arbeitgebende als auch Mitarbeiter profitieren, doch würde der Vorschlag der Gewerkschafter Gesetz, würden die Ziele der Ampel klar verfehlt. Denn die vorgeschlagenen Regelungen sind praxisfern, was den adminstrativen Aufwand angeht. Zudem würde das Unternehmerrisiko unkalkulierbar. Um eines von vielen Beispielen zu nennen: Gemäß § 12 Abs. 5 des Vorschlags dürfen biometrische Daten vom Unternehmen in der Bewerbungsphase nicht verarbeitet werden. Der Beschäftigtendatenschutz wird also zum einen vorverlagert zu einem Bewerberdatenschutz. Dem nicht genug würden Verantwortlichen nach § 39 unter Umständen bis zu zwei Jahre Gefängnis drohen, wenn sie ein biometrisches Porträtbild des Lebenslaufs verarbeiten, weiterleiten oder speichern. In der Praxis ist dies leicht möglich, weil Bewerber nicht selten Fotos nutzen, die sie anlässlich der Verlängerung ihres Personalausweises erstellt haben. Angesichts der Fülle von Bewerbungen dürfte für den Personaler aber nicht in jedem Einzelfall ohne weiteres und zweifelsfrei zu erkennen sein, ob das Bild biometrisch ist oder nicht.
3. Mitarbeiterbefragung zum Klimaschutz: Vorsicht vor Stolperfallen!
Auf EU-Ebene und national wachsen die Anforderungen des Gesetzgebers an die nichtfinanziellen Berichtspflichten zur Nachhaltigkeit, wie wir bereits berichtet haben. Dazu zählen die Kriterien Umweltschutz (Environment), soziale Standards (Social) und werteorientierte Unternehmensführung (Governance), kurz ESG. Zugleich fragen Banken, Investoren und Kunden immer häufiger nach, wie Unternehmen mit Blick auf Nachhaltigkeit und Klimaschutz aufgestellt sind.
Vor diesem Hintergrund arbeiten viele Unternehmen derzeit daran, belastbare Daten für den Status Quo zu erheben. Dazu zählt auch der ökologische Fußabdruck, der durch das Pendeln der Beschäftigten zum Arbeitsplatz entsteht. Und hierfür müssen Unternehmen die Mobilitätsdaten erfassen. Dabei handelt es sich um personenbezogene Daten und der Beschäftigtendatenschutz greift: Der Arbeitgeber muss sich also bei der Erhebung auf ein Minimum an Daten beschränken und diese sofern möglich zumindest pseudonymisieren. Als Legitimationsgrund für die Datenverarbeitung lässt sich Art. 6 Abs. 1 f) DSGVO anführen, da die Erhebung zu den berechtigten Interessen des Unternehmens zählt. Je nach Fallkonstellation bedarf der Arbeitgeber aber auch einer Einwilligung nach § 26 Bundesdatenschutzgesetz, weil die zu erhebenden Daten nicht unbedingt notwendig sind, um das Arbeitsverhältnis zu erfüllen. Nicht zu vergessen ist: Der Betriebsrat bestimmt unter Umständen nach § 87 Abs. 1 Nr. 6 BetrVG mit, sofern die Daten digital erfasst werden. Zudem ist nach § 94 As. 1 BetrVG die Zustimmung der Arbeitnehmervertreter notwendig für Personalfragebögen.
Achtung Zweckbindung!
Wollen Arbeitgebende bereits erhobene Daten nutzen, um sie nach ESG Aspekten auszuwerten, ist besondere Vorsicht angebracht wegen des Grundsatzes der Zweckbindung gemäß Art. 5 DSGVO: Denn einmal für einen bestimmten Zweck gesammelte Daten lassen sich nicht ohne weiteres für andere Zwecke nutzen.
4. Großen Unternehmen drohen höhere Bußgelder
Den Blick für die Risiken des Beschäftigtendatenschutzes zu schärfen, ist angesichts aktueller Pläne des Europäischen Datenschutzausschuss (EDSA) umso wichtiger. Dieser hat Richtlinien für eine Harmonierung veröffentlicht, um die Grundlage für die Berechnung von Bußgeldern europaweit zu vereinheitlichen. Bislang gilt zwar europaweit die DSGVO, aber die nationalen Datenschutzbehörden ahnden Verstöße unterschiedlich. Eine fünfstufige Berechnungsmethodik soll die Bußgeldpraxis transparenter machen. Vor allem für größere Unternehmen könnten Verstöße gegen den Datenschutz teurer werden.
Andererseits bieten die neuen Leitlinien für Unternehmen den Vorteil, dass sie Bußgeldrisiken besser einschätzen können. Zwar holt der EDSA zu den neuen Leitlinien noch bis 27.06.2022 Feedback im öffentlichen Konsultationsverfahren ein. Erfahrungsgemäß kommt es aber nicht mehr zu wesentlichen Änderungen. Deshalb können Unternehmen die Leitlinien schon jetzt nutzen, um die Chancen und Risiken jeglicher Data Privacy Litigation zu bewerten, wozu neben der Abwehr von Bußgeldern auch arbeitsrechtliche Kündigungsschutzprozesse zählen. Aktuellen Gerichtsentscheidungen zufolge kann es sich lohnen, gegen Maßnahmen der Datenschutzaufsicht vor Gericht zu ziehen.
- Der Auskunftsanspruch nach Art. 15 DSGVO bleibt ein Dauerbrenner für Unternehmen. Deshalb können sich Aufwand und Kosten für standardisierte Prozesse lohnen, um sich für Auskunftsverlangen zu wappnen. Beim Abschluss von arbeitsgerichtlichen Vergleichen sollten Arbeitgeber nicht vergessen, den Auskunftsanspruch mitzuregeln.
- Es bleibt zu hoffen, dass die Ampelkoalition den DGB-Entwurf für ein Gesetz zum Beschäftigtendatenschutz nicht als Formulierungshilfe nutzt. Statt mehr Rechtsklarheit drohen ansonsten ausufernde Bürokratie und unkalkulierbare unternehmerische Risiken. Dass der Beschäftigtendatenschutz auch zur Stolperfalle für Betriebsräte werden kann, haben wir bereits berichtet.
- Mitarbeiterbefragungen zu ESG und Nachhaltigkeit beschäftigen immer mehr Unternehmen. Im Vorfeld gilt es Tücken im Datenschutz sorgfältig zu analysieren.
- Das gilt umso mehr, als der EDSA neue Richtlinien zu Berechnung von Bußgeldern nach DSGVO plant. Unter Umständen wird ein Verstoß gegen den Datenschutz noch teurer.