Schadensersatz wegen fehlender Löschung von Daten ehemaliger Mitarbeiter

Arbeitgeber müssen nach Beendigung des Arbeitsverhältnisses personenbezogene Daten ihrer ehemaligen Beschäftigten unmittelbar von ihrer Website löschen. Wegen eines Verstoßes gegen dieses Gebot verurteilte das Arbeitsgericht Neuruppin einen Arbeitgeber zu einem Schadensersatz in Höhe von 1.000 Euro (Urteil vom 14. Dezember 2021, Az. 2 Ca 554/21).

Hintergrund des Verfahrens

Der Arbeitgeber hatte sich trotz Aufforderung durch eine ehemalige Arbeitnehmerin geweigert, ihren Namen von der Website des Unternehmens zu löschen. Die Daten waren über mehrere Monate weiterhin sichtbar. Für die unerlaubte Namensnutzung verlangte die ehemalige Arbeitnehmerin 5.000 Euro Schadensersatz gemäß Art. 82 DSGVO (Datenschutz-Grundverordnung). Das Arbeitsgericht Neuruppin sprach Ihr davon 1.000 Euro zu. In seiner Urteilsbegründung führte das Arbeitsgericht aus, dass der Arbeitgeber trotz des entsprechenden Begehrens der Arbeitnehmerin über mehrere Monate hin deren Daten auf ihrer Internetseite nicht gelöscht hat. Dies müsse mit einem Schadensersatz nach Art. 82 DSGVO effektiv sanktioniert werden.

In unseren regelmäßigen Besprechungen von Urteilen zum Datenschutzrecht erklären wir Ihnen die Konsequenzen für den Unternehmensalltag.

Datenschutzrechtliche Einschätzung

Beschäftigtendaten werden in Deutschland gemäß § 26 BDSG (Bundesdatenschutzgesetz) verarbeitet. Hieraus muss der Arbeitgeber eine Rechtsgrundlage ableiten, wonach er die Daten verarbeiten darf. Im Regelfall erfolgt die Verarbeitung gem. § 26 BDSG Abs. 1 BDSG zur Durchführung des Beschäftigungsverhältnisses. Auch zur Beendigung des Beschäftigungsverhältnisses kann es erforderlich sein, die Daten Ausgeschiedener zu speichern, um nachträgliche Vertragspflichten zu erfüllen (z.B. für das Arbeitszeugnis oder zur Einhaltung von Steuergesetzen). Erst wenn solche Aufbewahrungspflichten nicht mehr bestehen, ist die Speicherung nicht mehr erforderlich und damit rechtswidrig.

Beruht die Verarbeitung auf einer Einwilligung (z.B. im Falle von Fotos und Geburtstagslisten), kann der Mitarbeiter unverzüglich die Löschung verlangen und damit seine Einwilligung widerrufen. Bedenken Sie, dass in dem Löschverlangen eines Mitarbeiters, der eingewilligt hatte, gleichzeitig ein Widerruf zu sehen ist. In jedem Fall ist der Beschäftigte vor der Datenverarbeitung umfassend darüber zu informieren.

Meist wird der Name vom Arbeitgeber zur Durchführung des Arbeitsverhältnisses und zur Repräsentanz des Unternehmens auf der Website geführt. An dem Namen auf der Website besteht keine Aufbewahrungspflicht nach Ausscheiden des Mitarbeiters. Der Name muss dann mit dem Austrittsdatum gelöscht werden.

Vorsicht: Es sind auch Fälle denkbar, in denen die Darstellung des Mitarbeiters auf einer Unternehmens-Website nicht zwingend für die Durchführung des Beschäftigungsverhältnisses erforderlich ist. Dies ist etwa bei Mitarbeitern aus Fachabteilungen denkbar, die keinen direkten Kundenkontakt haben. In diesen Fällen muss der Mitarbeiter in die Verarbeitung einwilligen.

Im vorliegenden Fall konnte der Arbeitgeber dem Gericht keine Rechtsgrundlage für die Speicherung des Namens auf der Website nennen.

Gemäß Art. 82 Abs. 3 DSGVO trägt bei Schadensersatzklagen der Verantwortliche die Beweislast. In Fällen, in denen Mitarbeiter die Löschung ihrer Daten verlangen, müssen Arbeitgeber also in der Lage sein, die entsprechende Rechtsgrundlage für die Verarbeitung zu benennen. Daher empfiehlt sich ein stets aktuelles Verarbeitungsverzeichnis für alle im Unternehmen laufenden Verarbeitungen. Dort sind neben den Rechtsgrundlagen auch die entsprechenden Löschfristen zu führen. Dies wollen auch Aufsichtsbehörden bei ihren Kontrollen sehen.

Fazit

Gerade bei ehemaligen Mitarbeitern ist es unabdingbar, personenbezogene Daten rechtzeitig zu löschen. Zum einen handelt es sich dabei um besonders sensible Daten. Zum anderen öffnen Fehler Tür und Tor für ehemalige Beschäftigte, ihre ehemaligen Arbeitgeber in Schwierigkeiten zu bringen.

Herausforderungen beim Datenschutz?

Wir ermöglichen auch komplexe Datenverarbeitungen!

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: We do not tolerate grossly unobjective contributions or advertising on our own behalf and will not publish corresponding entries but delete them. I have been informed about the processing of my data according to the privacy policy of activeMind.legal.