Kolumne „Mein Urteil“ : Fehler beim Datenschutz – muss der Arbeitgeber zahlen?
- -Aktualisiert am
Datenschutzverstöße können bald richtig teuer werden. Bild: dpa
Datenschutzverstöße von Arbeitgebern hatten bislang nur geringe Folgen für die Unternehmen. Aber das ändert sich jetzt ganz drastisch.
In Zukunft können Beschäftigte hohen Schadensersatz fordern, wenn die Arbeitgeber ihre Daten unzulässig verarbeiten. Bisher haben deutsche Gerichte wegen Datenschutzverstößen Unternehmen nur zu geringen Zahlungen verurteilt. Denn Datenschutz ist das Recht der von einer Datenverarbeitung betroffenen Person auf informationelle Selbstbestimmung. Bürger sollen also selbst darüber bestimmen, was mit ihren Daten geschieht.
Aber das geltende Recht stellt dafür hohe Hürden auf. Nach dem bisherigen Bundesdatenschutzgesetz müssen Unternehmen bei Datenschutzverstößen nur materielle Schäden ersetzen, also Vermögensschäden (VI ZR 530/15). Unzulässige Datenverarbeitungen führen aber meist nicht zu wirtschaftlichen Nachteilen, sondern eher zu Verletzungen des Persönlichkeitsrechts. Lediglich bei schweren Verletzungen dieses Persönlichkeitsrechts können Unternehmen zur Zahlung geringer Schadensersatzansprüche verurteilt werden. So bekam unlängst eine Angestellte vom Bundesarbeitsgericht (BAG) nur 1000 Euro zugesprochen, nachdem ihr Arbeitgeber sie während einer Krankheit per Video überwachen ließ (8 AZR 1007/13). Hinzu kommt: Solche Prozesse sind schwer zu führen, weil die Kläger nachweisen müssen, dass ihre Daten in verbotener Weise verarbeitet wurden.
Bußgelder von bis zu 20 Millionen Euro
Doch für Arbeitnehmer wird es künftig aussichtsreicher, wegen tatsächlicher oder vermuteter Datenschutzverstößen zu klagen. Von Mai 2018 an gilt in der EU die Datenschutz-Grundverordnung (DSGVO). Sie sieht Bußgelder von bis zu 20 Millionen oder bis zu vier Prozent des globalen Umsatzes eines Unternehmens vor. Dabei ist auch die Erstattung von Nichtvermögensschäden vorgesehen. Für manche Unternehmen kann das teuer werden. Denn nach der Rechtsprechung des Europäischen Gerichtshofs müssen Schadensersatzansprüche wegen der Verstöße gegen EU-Recht hoch genug sein, um eine „abschreckende Wirkung“ zu erzielen (Az. C-407/14).
Hinzu tritt eine weitere wichtige Änderung. Unternehmen müssen künftig nachweisen, dass sie Daten entsprechend den strengen Vorgaben des neuen Datenschutzrechts verarbeiten. Dabei wird es nicht leicht sein, vor Gericht nachzuweisen, dass man die komplexen Vorschriften richtig umgesetzt hat. Hierfür sollten Unternehmen die Umsetzung der neuen Verordnung so umfassend planen, dass sie in Schadensersatzprozessen oder bei Untersuchungen der Datenschutzbehörden nachweisen können, dass sie die Anforderungen der DSGVO auch erfüllen. Für Verbraucheranwälte dürfte das neue Datenschutzrecht daher wohl ein attraktives Geschäftsfeld werden. Zumal die DSGVO auch Klagen von Verbänden ausdrücklich erlaubt.
