Ehemalige Arbeitgeberin bei Datenschutzbehörde angezeigt: Ein Fallbericht

2. Juni 2023

Die Digitalisierung macht viele Dinge einfacher. So auch im Arbeitsleben. Um dem zunehmenden Datenverkehr Herr zu werden, werden immer mehr Vorschriften zum Datenschutz erlassen. Manche nutzen die neuen Möglichkeiten jedoch, um gegen ihren ehemaligen Arbeitgeber bei der Datenschutzbehörde juristisch nachzutreten. Ein aktueller Fall, für den ich mandatiert wurde, und warum das Nachtreten so einfach ist, werden in diesem Blogbeitrag beschrieben.

Lesedauer ca. 5 Minuten (900 Wörter)

Stellen Sie sich vor, Sie sind Arbeitgeber und müssen einem Mitarbeiter kündigen. Die Kündigung allein kann bereits ein unbequemer Prozess sein, erst recht, wenn Emotionen ins Spiel kommen. Wenn dann anschließend noch vonseiten des gekündigten Mitarbeiters nachgetreten wird, ist eine juristische Konfrontation fast unausweichlich. So erging es einer Mandantin von mir. Sie wurde von einem gekündigten Mitarbeiter unverhofft in ein Verfahren vor der Landesdatenschutzbehörde hineingezogen – allerdings mit dem besseren Ende für sich.

Meine Mandantin ist ein Unternehmen aus dem norddeutschen Raum, das bundesweit in der B2B-Beratung tätig ist. Sie musste einem Arbeitnehmer kündigen. Die Gründe für die Kündigung waren für diese Angelegenheit, in der es um Datenschutz geht, sekundär. Nach dem Ausspruch der Kündigung jedenfalls, die im Übrigen rechtswirksam war, zeigte der gekündigte Mitarbeiter seine ehemalige Arbeitgeberin wegen eines vermeintlichen Verstoßes gegen die DSGVO bzw. des Bundesdatenschutzes bei der Landesdatenschutzbehörde an. Der Vorwurf lautete: Weitergabe von personenbezogenen Daten an Dritte ohne Rechtsgrundlage.

Ausgangslage des Datenschutz-Aufsichtsverfahrens

Von der zuständigen Datenschutzbehörde erhielt meine Mandantin ein sog. Anhörungsschreiben. In dem Schreiben wurde ihr der konkrete Vorwurf des ehemaligen Mitarbeiters eröffnet. Zudem wurde eine erste datenschutzrechtliche Einschätzung zum Vorwurf abgegeben und allgemeine Erläuterungen zum weiteren Verlauf des Aufsichtsverfahrens sowie den möglichen Sanktionen gemacht. Unter Fristsetzung von ca. 4 Wochen gab die Datenschutzbehörde meiner Mandantin zum Schluss die Gelegenheit, zum Vorwurf Stellung zu nehmen. Andererseits würde nach Aktenlage entschieden.

Die erste Herausforderung des Falles bestand darin, innerhalb kurzer Zeit die richtigen Schritte einzuleiten. Denn ich wurde erst eine Woche vor Ablauf der Frist mandatiert. Daher haben meine Mandantin und ich zunächst kurzfristig einen Termin vereinbart und die Angelegenheit ausgiebig besprochen. Dabei zeichnete sich ab, dass der Vorwurf nicht ganz von der Hand zu weisen war. Die Ziele meiner Mandantin waren damit die folgendermaßen priorisierten:

  1. keine Vor-Ort-Prüfung der Datenschutzbehörde
  2. Abwendung einer Geldbuße
  3. schnelle Beendigung des Verfahrens
  4. ein möglichst “leises” Verfahren

Es ist uns gelungen, fast alle Ziele zu erreichen.

Stellungnahme an die Datenschutzbehörde

Nach dem Besprechungstermin habe ich die Angelegenheit erst einmal ausgiebig geprüft. Eine zentrale Rolle spielte hierbei neben den Regelungen der DSGVO, hier insbesondere die Einwilligung, das Bundesdatenschutzgesetz. Der Fall handelte vom Weisungsrecht des Arbeitgebers und die möglichen Auswirkungen auf den Beschäftigtendatenschutz. Inhaltlich war die Sache sehr interessant und auch relevant für andere Verfahren.

Um die Ziele meiner Mandantin zu erreichen, stellten sich uns verschiedene Verteidigungsstrategien zur Verfügung. Zuerst haben wir uns jedoch einem vorläufigen Mittel bedient, das ich aus der Verteidigerposition im Strafrecht kenne: Meine Mandantin hat freiwillig einen Geldbetrag an das örtliche Tierheim gespendet. Anschließend formulierte ich eine Stellungnahme an die Datenschutzbehörde. Nach der Freigabe der Stellungnahme durch meine Mandantin konnten wir diese – trotz der kurzfristigen Mandatierung, aber Dank der zügigen Mitwirkung meiner Mandantin – fristgemäß versenden. Die Überweisungsbestätigung für die Spende haben wir gleich mitgeschickt.

Ergebnis des Aufsichtsverfahrens

Vom Anhörungsschreiben bis zum abschließenden Bescheid dauerte das Verfahren knapp 1 Jahr. In Anbetracht des Umfangs der Angelegenheit (insbesondere des Vorwurfs) war dies eine – vergleichsweise – kurze Verfahrensdauer. Für meine Mandantin war dies jedoch zu lang. Dass wir letztlich die weiteren Ziele allesamt erreicht haben, hat wiederum zu einem versöhnlichen Ende geführt.

Denn am Ende des Aufsichtsverfahrens konnte meiner Mandantin ein Verstoß gegen die DSGVO und das Bundesdatenschutzgesetz nicht zweifelsfrei nachgewiesen werden. Das Verfahren schloss also damit, dass keine Vor-Ort-Prüfung angeordnet und keine Geldbuße verhängt wurde. Schadenersatzforderungen wurden seitens des ehemaligen Mitarbeiters übrigens nicht erhoben. Diese hätten ohnehin über die Arbeitsgerichte geltend gemacht werden müssen. Doch dazu ist es meines Wissens nicht gekommen.

Lehren aus dem Fall

Meine Mandantin und ich haben verschiedene Lehren aus dem Fall gezogen:

  1. Eine wichtige Lehre für meine Mandantin war, dass eine professionelle Beratung und Vertretung vor Datenschutzbehörden richtig waren. Zwar war meine Mandatierung mit Kosten verbunden. Doch so konnte eine Geldbuße, die bekanntlich bis zu bis zu 20 Mio. € oder bis zu 4 % des Jahresumsatzes hoch sein kann, verhindert werden.
  2. Eine wesentliche Lehre für mich war, dass es richtig war, die endgültige Verteidigungsstrategie erst nach der Antwort der Landesdatenschutzbehörde auf unsere erste Stellungnahme festzulegen. Zwar kann durch diese Taktik das Verfahren verzögert werden (inklusive eventuellem Erklärungsaufwand gegenüber der Mandantschaft). Schlussendlich wurden so die wichtigsten Ziele gesichert.
  3. Aus Anlass des Verfahrens wird meine Mandantin dem Datenschutz zukünftig mehr Aufmerksamkeit widmen. Es geht weniger darum, im möglichen Falle eines erneuten Aufsichtsverfahrens “gut dazustehen”, als für den Datenschutz sensibilisiert zu sein.

Fazit

Eine allgemeine Lehre aus dem Fall ist, die Befürchtung, dass ehemalige Mitarbeiter zukünftig vermehrt gegen ehemalige Arbeitgeber nachtreten. Der Grund liegt darin, dass die Anzeige bei der Datenschutzbehörde “kostenlos” ist und hierfür kein Anwalt benötigt wird. Diese Befürchtung wird flankiert durch den – ebenfalls kostenlosen und niedrigschwelligen – Auskunftsanspruch gemäß Artikel 15 DSGVO, der sich als probates Mittel in Kündigungsprozessen gegen Arbeitgeber zu etablieren scheint.

Arbeitgeber, Unternehmen und alle anderen Verantwortliche gemäß der DSGVO tun also gut daran, den datenschutzrechtlichen Standard im Betrieb zumindest auf Minimalniveau (u. a. Stichwort: technische und organisatorische Maßnahmen zum Datenschutz und zur Datensicherheit) zu hieven bzw. zu halten. Das kommt am Ende allen zugute.

Sie kommen aus Kiel oder Schleswig-Holstein und haben ein Anhörungsschreiben von der Landesdatenschutzbehörde erhalten? Oder Sie kommen aus dem übrigen Bundesgebiet und haben Fragen zu Datenschutz, Aufsichtsverfahren oder Beschäftigtendatenschutz? Dann nehmen Sie gerne unter info@anwalt-daum.de Kontakt zu mir auf.

Dr. Oliver Daum
Rechtsanwalt
Fachanwalt für IT-Recht
Zertifizierter Datenschutzbeauftragter (IHK Kiel)

Auch interessant: 
Social-Media-Richtlinien für Unternehmen

Share on email
Share on whatsapp
Share on twitter
Share on xing

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht.

Scroll to Top