Datenschutz Verstehen – Anspruch auf Schadensersatz nach DSGVO
In der europäischen Datenschutz-Grundverordnung (DSGVO) sind in den Art. 82 ff. DSGVO diverse Tatbestände für den Erlass von Bußgeldern geregelt. Diese werden nach den Vorgaben der Art. 84 ff. DSGVO für den Fall von gewissen Verstößen gegen die DSGVO an verantwortliche Unternehmen erlassen. Darüber hinaus können Verantwortliche allerdings auch mit möglichen Schadensersatzansprüchen der betroffenen Personen konfrontiert werden. In einem jüngsten nationalen Beschluss wurde ein Schmerzensgeldanspruch nach der DSGVO erörtert. In unserem Blogbeitrag erfahren Sie, was die Ursache für die Klage der betroffenen Person war und lesen mehr zum Thema Schadensersatzansprüche und Bußgelder nach der DSGVO.
Inhalt:
- Veröffentlichung eines Fotos auf Facebook führt zu Schadensersatzanspruch
- Arbeitsgericht Lübeck spricht Klägerin Schmerzensgeldanspruch zu
- Berechtigtes Interesse reicht nicht aus
- Differnzierung: Schadensersatz und Bußgeld
- Anforderungen an eine Einwilligung bei Mitarbeitern
- Wie können sich Arbeitgeber konkret vor Bußgeldern schützen?
Veröffentlichung eines Fotos auf Facebook führt zu Schadensersatzanspruch
Das Arbeitsgericht Lübeck hat am 20.06.2019 den Antrag einer ehemaligen Arbeitnehmerin vom 20.03.2019 auf ratenfreie Prozesskostenhilfe für eine beabsichtigte Klage gegen ihre ehemalige Arbeitgeberin vom 20.03.2019, begrenzt hinsichtlich der Höhe des begehrten Schadensersatzes auf einen Betrag von 1.000 €, bewilligt.
Die Arbeitnehmerin war in einer Pflegeeinrichtung tätig. Die Arbeitgeberin hatte ein Foto der Arbeitnehmerin ohne ihre Einwilligung auf der Facebookseite des Unternehmens veröffentlicht. Gestützt wurde der Anspruch auf Schadensersatz, hier in Form eines Schmerzensgeldanspruchs, auf die Rechtsgrundlage in Art. 82 DSGVO. Nachdem die Arbeitnehmerin das Unternehmen verlassen hatte, verlangte Sie von Ihrer Arbeitgeberin die Entfernung des Fotos auf Facebook. Daraufhin löschte die Arbeitgeberin das Foto. Im Anschluss klagte die Arbeitnehmerin auf Zahlung von Schadensersatz wegen der Verletzung Ihres Rechtes am eigenen Bild.
Arbeitsgericht bewilligt Prozesskostenhilfe für möglichen Schadensersatzanspruch
Die betroffene Person erhielt eine Bewilligung für die Prozesskostenhilfe, begrenzt auf einen möglichen Schadensersatzanspruch i.H.v. 1.000 €. Das Gericht befand, dass die Veröffentlichung des Fotos der betroffenen Person ohne vorherige Einwilligung das Recht am eigenen Bild der ehemaligen Arbeitnehmerin beeinträchtigen könnte. Die Höhe des Schmerzensgeldes dürfe im konkreten Fall nicht höher ausfallen, da hier keine schwerwiegende Verletzung vorliegen würde. Eine Zustimmung seitens der ehemaligen Mitarbeiterin für den Aushang des Fotos lag zwar vor, die Zustimmung für Facebook fehlte im konkreten Fall allerdings.
Berechtigtes Interesse reicht nicht aus
Somit kann festgehalten werden, dass das berechtigte Interesse des Arbeitgebers gem. Art. 6 Abs. 1 lit. f) DSGVO nicht als Rechtsgrundlage für die Veröffentlichung von Mitarbeiterfotos in den sozialen Medien herangeführt werden kann. Daher sollten verantwortliche Unternehmen stets darauf achten, Mitarbeiterfotos in den sozialen Medien wie Facebook, Twitter, LinkedIn, Xing usw. nur dann zu veröffentlichen, wenn für die Veröffentlichung und Anfertigung der Fotos eine informierte Einwilligung gem. Art. 6 Abs. 1 lit. a), 7, 8 DSGVO seitens der betroffenen Person vorliegt.
Differenzierung: Schadensersatz und Bußgeld
Weiterhin müssen Arbeitgeber mögliche Schadensersatzansprüche nach der DSGVO auf der einen und Bußgelder nach der DSGVO auf der anderen Seite differenzieren: Bußgelder gem. Art. 83 ff. DSGVO werden bei Verstößen gegen die gesetzlichen Vorgaben von den jeweiligen zuständigen Datenschutzaufsichtsbehörde gegen das verantwortliche Unternehmen bzw. die verantwortliche Organisation erlassen. Schadensersatzansprüche gem. Art. 82 DSGVO können von betroffenen Person gegenüber verantwortlichen Unternehmen geltend gemacht werden. Gem. Art. 82 DSGVO kann ein Schadensersatzanspruch von der betroffenen Person auch gegen einen Auftragsverarbeiter bestehen. Zusätzlich zu der Geltendmachung von Schadensersatzansprüchen durch betroffene Personen kann auch die zuständige Datenschutzaufsichtsbehörde ein Bußgeld verhängen. Bußgelder können bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden, je nachdem, welcher der Beträge höher ist, vgl. Art. 84. Eine Bezifferung für Schadensersatzansprüche ist in Art. 82 DSGVO dagegen nicht zu finden.
Anforderungen an eine Einwilligung bei Mitarbeitern
Neben den Bestimmungen aus Art. 7 und Art. 8 DSGVO müssen für eine Einwilligung im Beschäftigungsverhältnis insbesondere die Regelungen aus § 26 Abs. 2 BDSG-neu eingehalten werden. Grundsätzlich muss eine Einwilligung freiwillig sein und der Betroffene muss über die jeweilige Verarbeitung, hier die Aufnahme und Veröffentlichung von Fotos, nach den Vorgaben der Art. 12 ff. DSGVO informiert werden (Stichwort: Informierte Einwilligung). Außerdem muss die Einwilligung der jeweiligen betroffenen Person nachweisbar festgehalten werden, vgl. Art. 7 Abs. 1 DSGVO. Die Einwilligung muss nach den besondere Vorgaben des § 26 Abs. 2 BDSG-neu im Beschäftigungsverhältnis schriftlich oder elektronisch erfolgen, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist.
Der Arbeitgeber muss ferner die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht gem. Art. 7 Abs. 3 DSGVO in Textform aufklären und dass der Widerruf nur mit Wirkung für die Zukunft ausgeübt werden kann, vgl. Art. 7 Abs. 3 S.2 DSGVO. Für die Beurteilung der Freiwilligkeit der Einwilligung sind insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen, vgl. § 26 Abs. 1 S.1 BDSG-neu. Freiwilligkeit kann gem. § 26 Abs. 2 S.2 BDSG-neu insbesondere dann vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen.
Wie können sich Arbeitgeber konkret vor Bußgeldern schützen?
Arbeitgeber schützen sich vor Bußgeldern und Schadensersatzansprüchen, wenn sie bereits während des Onboarding-Prozesses erforderliche Erklärungen und Datenschutzhinweise den neuen Mitarbeitern aushändigen. Darüber hinaus müssen Abteilungen wie das Marketing dahingehend kontrolliert werden, dass Fotos von Mitarbeitern ohne Einwilligung nicht angefertigt und veröffentlicht werden. Empfehlenswert ist es, das Marketing über die datenschutzrechtliche Erforderlichkeit einer Einwilligungserklärung für die Aufnahme und Veröffentlichung von Mitarbeiterfotos zu informieren.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.
