Schlagwort: BDSG
17. November 2022
Die Amtspflichtverletzung eines betrieblichen Datenschutzbeauftragten erlaube nach Systematik sowie Sinn und Zweck des § 6 Abs. 4 BDSG nicht die fristlose Kündigung. Dies entschied das Arbeitsgericht Heilbronn mit Urteil vom 29. September 2022 (Az. 8 Ca 135/22).
Hintergründe der Kündigung
Aus Sicht des Arbeitgebers sei die fristlose Kündigung erforderlich gewesen, da der angestellte Datenschutzbeauftragte verschiedenen Verpflichtungen nicht nachgekommen sei. Dieser habe die Aufgaben, die sich aus seiner Stellung als Datenschutzbeauftragten ergeben, nicht ausreichend erfüllt. Somit sei es zu mehreren Datenschutzmängeln im Unternehmen gekommen.
Unterscheidung zwischen Abberufung und Kündigung
Das ArbG stellte die Unwirksamkeit der fristlosen Kündigung fest. Insoweit könne die Missachtung seiner Pflichten, die sich aus der Funktion als Datenschutzbeauftragter ergeben, nicht der alleinige Kündigungsgrund sein.
Das Gericht betonte dabei, dass zu unterscheiden sei zwischen arbeitsrechtlichen Pflichtverletzungen und solchen, die das Amt des Datenschutzbeauftragten betreffen. Bei Verletzung der Amtspflichten seien die gesetzlichen Sanktionen anzuwenden. Eine Kündigung sei stattdessen nicht möglich.
Außerdem führte das Gericht an, dass § 6 Abs. 4 BDSG ausdrücklich zwischen der Abberufung und der Kündigung unterscheide. Die Abberufung des Datenschutzbeauftragten sei grundsätzlich möglich. Dafür müsse ein Grund vorliegen, der nach Maßgabe des §626 BGB zu bestimmen sei. Darüber hinaus müsse der Grund mit der Funktion als Datenschutzbeauftragten in Verbindung stehen. Hinsichtlich der Kündigung stelle das Gesetz den Datenschutzbeauftragten unter einen besonderen Schutz. Die Kündigung sei grundsätzlich nicht möglich. Ausnahme dieser Regel sei das Vorliegen eines Kündigungsgrunds, der zur fristlosen Kündigung berechtige.
Aus Sicht des Gerichtes sei die ausdrückliche Unterscheidung zwischen Abberufung und Kündigung für die Kündigung des Datenschutzbeauftragten zu beachten. Wegen dieser Unterscheidung sei die Kündigung wegen einer Amtspflichtverletzung nicht möglich.
Zusätzlich sei der Sinn und Zweck der Abberufung und Kündigung zu berücksichtigen. Um den Datenschutzbeauftragten die freie Funktionsausübung zu ermöglichen, sei die Abberufung nicht ohne Grund möglich. Der Kündigungsschutz des Datenschutzbeauftragten begründe sich hingegen aus möglichen Konflikten. Diese könnten aufgrund der arbeitsrechtlichen Verpflichtungen und der Ausführung der datenschutzrechtlichen Funktion entstehen.
3. Februar 2021
Wie nun bekannt wurde, hat das Landgericht Lüneburg mit Urteil vom 14.07.2020, Az. 9 O 145/19 eine Bank zur Zahlung von Schadensersatz in Höhe von 1.000 EUR verurteilt. Für die Richter lag ein Verstoß gegen die Datenschutzgrundverordnung (DSGVO) vor, weil die Bank eine Kontoüberziehung ihres Bankkunden in Höhe von 20 Euro zu Unrecht einer Kredit-Auskunftei, der Schufa Holding AG (nachfolgend Schufa) meldete.
Sachverhalt:
Der Kläger unterhielt bei der Beklagten, einer größeren Bank, ein Girokonto. Auf dem Konto wurde dem Kläger auch ein Dispositionskredit über 1.000 Euro zur Verfügung gestellt. Dieser Dispositionskredit wurde von der Bank unter Berufung auf die Allgemeinen Geschäftsbedingungen (AGB) aus wichtigem Grund gekündigt. Zu diesem Zeitpunkt überschritt der Kläger den ihm eingeräumten Dispokredit um 20 Euro, der Sollsaldo betrug mithin 1.020 Euro. Nach Erhalt der Kündigung glich der Kläger die überzogenen 20 Euro aus, so dass das Konto des Klägers einen Sollsaldo von 999,99 Euro auswies. Weitere Verfügungen über das Konto wurden nicht mehr zugelassen. Nachdem es in der Folge mehrere Lastschriftrückgaben gab, kündigte die Beklagte sodann auch die Kontoverbindung des Klägers aus wichtigem Grund und stütze sich dabei auf einen Kündigungsgrund innerhalb ihrer AGB. Dabei setzte sie dem Kläger eine Frist zur Rückzahlung des bestehenden Schuldsaldos inklusive Zinsen. Dieser Fristsetzung kam der Kläger nach und beglich den noch offenen Sollsaldo, vor Ablauf der Frist hatte die Bank aber bereits bei der Schufa eine Negativ-Einmeldung i.H.v. 1.020 Euro veranlasst.
Dagegen erhob der Kläger Klage vor dem Landgericht Lüneburg und beantrage unter anderem den Widerruf dieser Einmeldung sowie die Zahlung eines Schmerzensgeldes.
Entscheidung:
Das Gericht gab dem Kläger teilweise Recht und verurteilte die Beklagte zum Widerruf der von ihr veranlassten Datenübermittlung an die Schufa sowie zur Zahlung eines Schadensersatzes.
Dabei hielt es einen Anspruch auf Ersatz eines immateriellen Schadens in Gestalt eines Schmerzensgeldes nach Art. 82 Abs. 1 DSGVO in Höhe von 1.000 Euro für angemessen. Den immateriellen Schaden begründete es vorliegend mit dem Kontrollverlust des Klägers über seine personenbezogenen Daten. Durch die Übermittlung der Daten an die Schufa habe die Beklagte, so das Gericht, personenbezogene Daten an einen unbeteiligten und unberechtigten Dritten weitergegeben. Dadurch sei der Kläger bloß gestellt worden und es drohe zudem mittelbar eine potenzielle Stigmatisierung, die durch einen Eintrag bei der Schufa entstehen könne. Das Gericht führte weiter aus, dass es sich bei den an die Schufa übermittelten Daten um schützenswerte und sensible Daten des Klägers handle, die maßgeblichen negativen Einfluss auf seine Teilnahme am wirtschaftlichen Verkehr haben können, indem ihm Kredite oder Verträge aufgrund der Eintragung versagt werden können. Auch Grundrechte wie die Berufsfreiheit und die allgemeine Handlungsfreiheit können durch eine solche Eintragung beeinträchtigt werden.
Vorliegend sah das Gericht daher das Interesse des Klägers, dass seine Daten nicht an die Schufa gemeldet werden und gegebenenfalls durch unbekannte Dritte eingesehen werden können, als besonders schützenswert an. Ein berechtigtes Interesse der Beklagten an der Datenübermittlung an die Schufa, verneinte das Gericht. Im Rahmen der Interessenabwägung, stütze es seine Abwägungskriterien auf § 31 Abs. 2 Nr. 4 Bundesdatenschutzgesetz (BDSG). Die Voraussetzungen des § 31 Abs. 2 Nr. 4 BDSG, wonach der Schuldner nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden sein; die erste Mahnung mindestens vier Wochen zurückliegen; der Schuldner zuvor, jedoch frühestens bei der ersten Mahnung, über eine mögliche Berücksichtigung durch eine Auskunftei unterrichten worden sein muss und der Schuldner die Forderung nicht bestritten haben darf, lagen nach Ansicht des Gerichts nicht vor. Damit lag für das Gericht ein Indiz für die Rechtswidrigkeit der Datenübermittlung an die Schufa vor.
Ausblick:
Die Besonderheit dieses Falles liegt wohl darin, dass obwohl das Landgericht die Beeinträchtigung des Klägers als eher gering einschätzte und die Negativeintragung nur 14 Tage bestand, es dem Kläger einen Schadensersatz in Höhe von 1.000 Euro zusprach. Zudem hielt das Gericht vorliegend – anders als viele andere Gerichte – auch eine Erheblichkeitsschwelle bei einem immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO für nicht geboten, sondern wollte auch einen Bagatellschäden entschädigt sehen.
Es bleibt daher abzuwarten, welche Signalwirkung dieses Urteil auf andere Gerichte hat und wie die Gerichte bei einem länger andauernden Datenschutzverstoß entscheiden werden.
5. Juni 2020
Mit einer Stellungnahme vom 27.05.2020 erklärte der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, dass betriebliche Datenschutzbeauftragte auch während einer (Corona-bedingten) Kurzarbeit im Unternehmen unverzichtbar sind.
Denn auch für den Fall, dass ein Verantwortlicher in seinem Unternehmen Kurzarbeit einführt – dass also entweder in geringerem Umfang weitergearbeitet oder vorübergehend die gesamte Tätigkeit eingestellt wird – bleibt das Unternehmen an sich bestehen. Betriebliche Dateschutzbeauftragte sind insbesondere deswegen weiterhin von Bedarf, da Kunden- und Geschäftsbeziehungen auch während einer Kurzarbeit bestehen bleiben. Somit werden auch weiterhin personenbezogene Daten verarbeitet. Auch bringt die Corona-Pandemie neue datenschutzrechtliche Herausforderungen mit sich. So wurden durch Betriebe vermehrt Home-Office angeordnet oder Konferenzen und Besprechungen per Videosysteme abgehalten. Ebenso mussten teilweise die innerbetrieblichen Kommunikationswege mit neuen elektronischen Systemen und Anbietern sichergestellt werden.
Es obliegt weiterhin dem Verantwortlichen gemäß Art. 38 Abs. 2 der Datenschutz-Grundverordnung (DSGVO), dem Datenschutzbeauftragten zu ermöglichen, Kontroll- und Beratungsaufgaben wahrzunehmen.
Auch die Pflicht, einen Datenschutzbeauftragten nach Bundesdatenschutzgesetz (BDSG) zu benennen, besteht weiter. Dass in § 38 Abs. 1 S. 1 BDSG festgelegt ist, dass Verantwortliche dann einen Datenschutzbeauftragten zu benennen haben, “…soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen”, soll nicht heißen, dass damit jegliche kurzzeitige Veränderung in Betriebsabläufen gemeint ist. Vielmehr muss hier eine langfristige Betrachtung der Verarbeitungsvorgänge vorgenommen werden. Solange auch im Anschluss an die Kurzarbeit mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist die Pflicht zur Bennenung eines Datenschutzbeauftragten nach Bundesdatenschutzgesetz gegeben.
Möglich ist, den Arbeitszeitumfang eines betrieblichen Datenschutzbeauftragten, der vor der Kurzarbeit in Vollzeit tätig war, zu verringern. Es muss jedoch stets gewährleistet sein, dass er seinen datenschutzrechtlichen Pflichten uneingeschränkt nachkommen kann.
Um dies zu gewährleisten, muss dem Datenschutzbeauftragten des Weiteren mit geeigneten Maßnahmen durch den Verantwortlichen ermöglicht werden, telefonisch und/oder per E-Mail erreichbar zu sein und ihre Posteingänge prüfen zu können.
29. März 2019
Das Bundesverwaltungsgericht hat am 27. März entschieden, dass eine Videoüberwachung in einer Zahnarztpraxis die ungehindert betreten werden kann, strengen Anforderungen an die datenschutzrechtliche Erforderlichkeit unterliegt.
Die Zahnärztin klagte in diesem Fall gegen eine Anordnung der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (LDA Brandenburg). Die Praxis kann durch Öffnen der Tür ungehindert betreten werden. Der Empfangstresen ist nicht besetzt. Oberhalb des Tresens hat die Klägerin eine Videokamera angebracht. Die aufgenommenen Bilder konnte sie in Echtzeit auf Monitoren in ihren Behandlungszimmern verfolgen. Eine Aufzeichnung hat nicht stattgefunden.
Der Landesdatenschutzbeauftragte hatte die Zahnärztin verpflichtet die Kamera so auszurichten, dass keine Patienten gesehen werden können. Insoweit ist die nach erfolglosem Widerspruch erhobene Klage in den Vorinstanzen erfolglos geblieben. Die DSGVO ist in diesem Fall nicht anwendbar, da die datenschutzrechtliche Anordnung vor dem 25.05.2018 erlassen wurde.
Jedoch ist an dieser Stelle zu erwähnen, dass der aktuell gültige § 4 Abs. 1 S. 1 BDSG mit dem damaligen § 6b Abs. 1 S. 1 BDSG inhaltsgleich übernommen worden ist. Nach Absatz 1 dieser Vorschrift setzte die Beobachtung durch ein Kamera-Monitor-System auch ohne Speicherung der Bilder voraus, dass diese zur Wahrnehmung berechtigter Interessen des Privaten erforderlich ist und schutzwürdige Interessen der Betroffenen nicht überwiegen. Ebenso muss nach der DSGVO bei einer Videoüberwachung eine Interessenabwägung stattfinden. Die Zahnärztin konnte jedoch nicht darlegen, wieso eine Videoüberwachung erforderlich war. Anders wäre der Fall gewesen, wenn sie in der Vergangenheit mehrere Straftaten in der Praxis erlebt hätte.
Die Videoüberwachung ist nicht notwendig, um Patienten, die nach der Behandlung aus medizinischen Gründen noch einige Zeit im Wartezimmer sitzen, in Notfällen betreuen zu können. Schließlich sind die Angaben der Klägerin, ihr entstünden ohne die Videoüberwachung erheblich höhere Kosten, völlig pauschal geblieben.
