Schadensersatz wegen unterlassener Löschung

Urteil

Das Arbeitsgerichts Neuruppin hatte Ende letzten Jahres einer ehemaligen Mitarbeiterin Schadensersatz in Höhe von 1.000,00 Euro zugesprochen, weil der Arbeitgeber nicht ordnungsgemäß deren Daten gelöscht hatte. In diesem Blogbeitrag werden neben den Hintergründen zum Urteil auch erläutert, wie andere Arbeitgeber ein solches Urteil mit Hilfe eines Löschkonzeptes und etablierten DSGVO-Prozessen vermeiden können.

Was ist passiert?

Die Klägerin war Angestellte bei der Beklagten als Mitarbeiterin im Büromanagement. Sie verfügt über einen akademischen Abschluss als Biologin, was der Beklagten bekannt war. Im Rahmen der Beendigung des Arbeitsverhältnisses schrieb die Klägerin die Beklagte an und wies darauf hin, dass auf der Webseite der Beklagten die Klägerin immer noch benannt sei. Auf der Webseite der Beklagten erschien jedoch trotz dieser Aufforderung weiterhin, dass die Klägerin als Biologin Wasseranalyseprotokolls schreiben und Kunden betreuen würde. Dabei hatte die Klägerin diese Tätigkeiten nicht mal ausgeübt, als das Arbeitsverhältnis noch bestand. Die Klägerin verlangte von der Beklagten nach nochmaliger Aufforderung eine Unterlassungserklärung und eine Geldentschädigung in Höhe von 8.000,00 Euro. Die Beklagte gab die Unterlassungserklärung ab und zahlte der Klägerin lediglich 150,00 Euro. Daraufhin klagte die Klägerin vor dem Arbeitsgericht Neuruppin auf Schadensersatz in Höhe von 5.000,00 Euro abzüglich der gezahlten 150,00 Euro.

Wie entschied das Arbeitsgericht?

Das Arbeitsgericht Neuruppin sprach in seinem Urteil vom 14.12.2021, Az. 2 Ca 554/21 der ehemaligen Mitarbeiterin einen immateriellen Schadensersatz in Höhe von 1.000,00 Euro abzüglich der gezahlten 150,00 Euro zu. Es bestätigte, dass eine rechtswidrige Datenverarbeitung vorlag, die zu einer Verletzung des Persönlichkeitsrechts führte. Daher stand der Klägerin auch ein Anspruch auf Schadensersatz nach Art. 82 DSGVO zu.

Ein immaterieller Schaden genügt

Hervorgehoben hatte das Arbeitsgericht, dass nicht jeder einer betroffenen Person entstandene Schaden auszugleichen sei, vielmehr müsse der Verstoß kausal für den Schaden sein. Als Verantwortlicher sei die Beklagte als Arbeitgeberin schadensersatzpflichtig für den Schaden, der durch die unrichtige bzw. unzulässige Verwendung von personenbezogenen Daten entstanden ist. Der unbefugte Umgang mit den Daten müsse darüber hinaus schuldhaft i.S.v. § 276 BGB erfolgen, damit vorsätzlich oder zumindest fahrlässig. Ein schuldhaftes Verhalten würde nach Art. 82 Abs. 3 DSGVO vermutet und der Verantwortliche müsse sich entlasten. Der Schaden per se könne ein materieller oder immaterieller Schaden sein, wichtig ist, dass es sich um einen „vollständigen und wirksamen Schadensersatz“ handelt.

„Da der Schadensersatzanspruch nach Art. 82 DSGVO im Übrigen auch im Umfang auch die Elemente der Wirksamkeit und Abschreckung enthalten soll, können in die Berechnung des Haftungsumfangs auch präventive Gesichtspunkte einfließen (Specht/Manz, a.a.O. Rz. 247).“

Arbeitgeber hätte bereits proaktiv löschen müssen

Das Arbeitsgericht stellte klar, dass es keiner Lösch-Aufforderung bedarf, sondern die Daten nach Beendigung des Arbeitsverhältnisses umgehend von der Webseite des Verantwortlichen entfernt werden müssen. Interessanterweise führt es weiter aus:

„Dies ergibt sich nicht nur aufgrund der bestehenden datenschutzrechtlichen Pflichten, sondern stellt auch eine allgemeine Nebenpflicht aus dem Arbeitsverhältnis i.S.v. § 241 Abs. 2 BGB dar.“

Hinzu komme, dass die Beklagte wahrheitswidrig die Klägerin auf der Webseite als angestellte Biologin aufführte.

Den Einwand des beklagten Arbeitgebers, dass es sich um eine veraltete Version der Webseite handele, ließ das Gericht nicht akzeptieren. Des Weiteren stellt das Gericht den Gedanken der Warn- und Abschreckungsfunktion aufgreifend klar, dass der Klägerin ein Schadensersatzanspruch zuzugestehen sei, unabhängig von der Tatsache, dass die Klägerin keine immateriellen Beeinträchtigungen vorgetragen hat. Eine „uferlose Geltendmachung solcher Ansprüche“, wie sie das Landgericht Bonn im Urteil vom 01.07.2021, 15 O 372/20 nennt, sei kein überzeugendes Argument, einen Schadensersatzanspruch deswegen nicht gerichtlich zu prüfen. Bezüglich der Höhe des Schadensersatzes orientiert sich die Kammer an mehreren vorangegangen Entscheidungen und verweist schlussendlich auf §§ 286, 288 ZPO.

Wie hätte der Arbeitgeber das Urteil vermeiden können?

Bei diesem Urteil kann man tatsächlich kein Mitleid mit dem Arbeitgeber haben. Schließlich hätte es viele Möglichkeiten für diesen gegeben, eine Schadensersatzpflicht proaktiv abzuwenden:

  1. Zunächst einmal hätte der Arbeitgeber es unterlassen sollen, falsche Informationen über seine Mitarbeiter auf der Webseite zu veröffentlichen. Weder die Mitarbeiter noch die Kunden finden so etwas toll. Zudem stellt es einen Verstoß gegen den Grundsatz dar, dass personenbezogene Daten sachlich richtig zu verarbeiten sind, vgl. Art. 5 Abs. 1 lit. d DSGVO.
  2. Der Arbeitgeber hätte spätestens mit Wirksamwerden der DSGVO ein Löschkonzept im Unternehmen etablieren müssen. Hierdurch hätte er auch gewusst, wie er mit den Daten ausgeschiedener Mitarbeiter umzugehen hat. Ein fehlendes Löschkonzept stellt einen Verstoß gegen die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO dar.
  3. Als das konkrete Arbeitsverhältnis endete, hätte der Arbeitgeber den Webauftritt aktualisieren müssen. Hierdurch hätte er bereits proaktiv die Informationen zur ehemaligen Mitarbeiterin gelöscht. Ein solches Vorgehen liegt auch ohne ein Löschkonzept mehr als nur nahe.
  4. Als die ehemalige Mitarbeiterin um Löschung ihrer Daten auf der Webseite bat, hätte er seine Löschpflicht erfüllen müssen. Es ist ein absolutes Muss für jede Organisation, einen funktionierenden Prozess für den Umgang mit Betroffenenanfragen nach Art. 15 bis 22 DSGVO zu etablieren.

Das Verhalten des Arbeitgebers verdeutlicht schließlich, dass er viele Grundsätze der DSGVO noch nicht hinreichend berücksichtigte. Wenn er Pech hat, hat die ehemalige Mitarbeiterin sich zeitgleich noch bei der Datenschutz-Aufsichtsbehörde beschwert, sodass nun diese Behörde gegen den Arbeitgeber ermittelt. Für die verschiedenen Verstöße gegen die DSGVO kann dem Arbeitgeber nach Art. 83 DSGVO noch zusätzlich ein Bußgeld in Höhe von bis zu 20.000.000,00 Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs drohen, je nachdem, welcher der Beträge höher ist.

Was sollten Arbeitgeber tun, wenn Mitarbeitende die Organisation verlassen?

Wenn Mitarbeitende ihren letzten Arbeitstag in der Organisation hatten, sollten Arbeitgeber folgende Schritte aus Gründen des Datenschutzes und der IT-Sicherheit durchführen:

  1. Zugriffsberechtigungen aus IT-Systemen sperren bzw. entziehen.
  2. Hardware wie Diensthandy, Dienst-Laptop etc. sowie Zutrittsschlüssel vom ehemaligen Mitarbeiter heraus verlangen, soweit diese noch nicht übergeben wurde. Hardware zurücksetzen und/oder formatieren.
  3. Betriebliches E-Mail-Postfach des Mitarbeiters sperren (nicht löschen!). Abwesenheitsnotizen und/oder Weiterleitungen einrichten. E-Mails mit Externen stellen Geschäftsbriefe dar und unterliegen somit mindestens einer sechsjährigen Aufbewahrungspflicht nach dem Handelsgesetzbuch. Daher ist eine Archivierung zwingend erforderlich. Die erneute „Öffnung“ des persönlichen E-Mail-Postfaches muss vorab mit dem Datenschutzbeauftragten und ggf. mit dem Betriebsrat geklärt werden.
  4. Mitarbeiterakte archivieren, soweit alle laufenden arbeitsrechtlichen Ansprüche geklärt wurden. Hier sind verschiedene gesetzliche Aufbewahrungsfristen zu beachten.
  5. Intranet und firmeneigenen Webauftritt überprüfen, ob Informationen des ausgeschiedenen Mitarbeiters gelöscht werden müssen. Hierbei ist auch an Fotos, Videos u. ä. denken.
  6. Benutzerkonten (z. B. im Active Directory) löschen.
  7. Benutzerprofil und Benutzer-Homeverzeichnis aus dem aktiven Dateiserver entfernen.
  8. Rufnummer aus der Telefonanlage und dem Telefonverzeichnis entfernen.

Die Liste ist natürlich nicht abschließend zu verstehen. Sie zeigt aber bereits, dass ein Off-Boarding-Prozess unabdingbar ist. Dieser kann auch zeitgleich Aspekte der Löschpflichten abdecken. Hilfreich ist hierbei, wenn man intern Checklisten erstellt, die von dem ausscheidenden Mitarbeiter und der IT-Abteilung abzuarbeiten sind.

Das Löschkonzept – Nicht nur ein Nice-to-have

Nach wie vor haben viele Organisation noch kein richtiges Löschkonzept etabliert. Dabei kann dies richtig teuer werden, wenn die Aufsichtsbehörden dies kontrollieren. So erging erst vor kurzem ein Bußgeld in Höhe von ca. 1,3 Mio. Euro gegen das dänische Unternehmen Danske Bank – hierzu auch folgender Blogbeitrag.

Auch Deutsche Wohnen sah sich ein Bußgeld in Höhe von 14,5 Mio. Euro ausgesetzt. Durch eine bislang erfolgreiche Beschwerde gegen den Bußgeldbescheid konnte es der Bestrafung aber entgehen. Nach dem deutschen Recht müssen Unternehmen nur dann ein Bußgeld wegen Verstößen gegen Gesetze zahlen, wenn ein Gericht der Leitungsebene Fehler nachweisen kann. Dies scheint aber nicht mit der DSGVO vereinbar zu sein und muss daher nun höchstrichterlich geklärt werden. Das Kammergericht Berlin legte sodann dem Europäischen Gerichtshof zwei Rechtsfragen vor. Dem Image von Deutsche Wohnen hat das Bußgeldverfahren aber sicherlich nicht geholfen.

Das Erstellen und Etablieren eines Löschkonzeptes, welches nicht nur für die Schublade gedacht ist, stellt Organisationen vor viele Herausforderungen. Wie diese gemeistert werden können, wurde bereits in einem Blogartikel durch uns erläutert.

Webinar zum Thema

Wer mehr als nur graue Theorie lernen will, sondern auch praxistaugliche und technische Hilfestellungen zum Thema Löschkonzept erfahren möchte, sollte an unserem bevorstehende Webinar „DSGVO-konformes Löschen“ teilnehmen.

Im Kleingruppenformat vermitteln wir einerseits Fachwissen zum Thema Löschen gemäß der DSGVO. Andererseits zeigen wir aber anhand von Praxisbeispielen auch, wie technisch die Löschung umgesetzt werden kann. Wie bei all unseren Webinaren ist auch ausreichend Zeit für Fragen vorhanden. Zudem erhalten sie neben den Vortragsunterlagen und Skripten auch ein Teilnahmezertifikat als Fachkundenachweis gemäß § 40 Abs. 6 BDSG und Art. 37 Abs. 5 DSGVO.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutz-Dokumente

2 Kommentare zu diesem Beitrag

  1. Sehr geehrte Damen und Herren, vielen Dank für den Beitrag. Ich frage mich, ob man problemlos E-Mails weiterleiten bzw. sich Zugriff zu den E-Mails ehemaliger Mitarbeiter verschaffen kann? Es gibt ja noch andere Punkte zu beachten. Vielen Dank für eine Rückmeldung.

    • Sie haben natürlich Recht und die Zulässigkeit einer Weiterleitung muss vorab gut geprüft werden. Insbesondere wenn im Unternehmen die private Nutzung des betrieblichen E-Mail-Accounts gestattet wurde, kann dies gegen eine automatisierte Weiterleitung sprechen. Der Aufgabenbereich und Position des Mitarbeitenden sind hierbei auch zu berücksichtigen.

      Da die Liste nur beispielhaft aufzeigen sollte, woran beim Fortgang eines Mitarbeiters zu denken ist, wurde auf die verschiedenen Fallstricken nicht noch zusätzlich hingewiesen. Diese allein könnten schon wieder einen neuen Blogbeitrag begründen.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.