Wer als Arbeitgeber die Daten eines ehemaligen Mitarbeiters nicht von der Internetseite entfernt, riskiert Schadensersatz nach DSGVO.
Die eigenen Mitarbeiter sind das Aushängeschild jedes Unternehmens. Auf den Internetseiten der Firmen werden häufig Fotos oder sogar Videos veröffentlicht auf den die Mitarbeiter zu sehen sind. Auch haben die Arbeitgeber großes Interesse daran, die fachlichen Kenntnisse der eigenen Mitarbeiter auf der Internetseite zu präsentieren. In der Regel löschen die Arbeitgeber nach der Beendigung des Beschäftigungsverhältnisses diese Informationen von der Internetseite. Welche Konsequenzen nach DSGVO drohen können, wenn die Arbeitgeber dies nicht tun, zeigt ein Fall der kürzlich vor Arbeitsgerichts Neuruppin (Urteil vom 14.12.2021 – 2 Ca 554/21) verhandelt wurde.
Was ist passiert?
Die Klägerin, eine Akademikerin mit einem Abschluss in Biologie, war bei der Beklagten bis 31.07.2020 tätig. Sie arbeitete dort allerdings nicht als Biologin, sondern im Büromanagement. Dennoch warb die Beklagte mit den Kenntnissen der Mitarbeiterin im Bereich Biologie und bot Ihren Kunden entsprechenden Service an. Auf der Internetseite hieß es u.a.:
„Unsere Biologin … erstellt Ihnen nach der Wasseranalyse ein Analyseprotokoll mit Handlungsempfehlungen und Stellungnahmen.
Sie wird Sie anschließend, wenn Sie es wünschen, noch weitere Zeit betreuen, die Wasserwerte regelmäßig kontrollieren und somit zur Verbesserung und Stabilisierung Ihres Teiches beitragen.“
Unmittelbar nach der Beendigung des Arbeitsverhältnisses forderte die ehemalige Mitarbeiterin die Arbeitgeberin dazu auf, die Informationen über ihre Person von der Internetseite des Unternehmens zu entfernen. Als ihr mehrere Monate später auffiel, dass die Informationen immer noch auf der Internetseite der Beklagten aufzufinden waren, verlangte sie Unterlassung und Schadensersatz von 8.000,00 €. Die entsprechende Unterlassungserklärung unterschrieb die Beklagte, zahlte aber nur 150,00 €.
Damit war die Mitarbeiterin nicht einverstanden und verklagte ihre ehemalige Arbeitgeberin auf 5.000,00 € Schadensersatz nach DSGVO. Sie meinte u.a. die Beklagte habe sich durch die Information auf der Internetseite einen Wettbewerbsvorteil verschaffen wollen.
Die Beklagte lehnte den Anspruch ab und meinte, dass der Klägerin kein Nachteil entstanden sei. Etwaigen Schaden habe sie mit der Zahlung der 150,00 € ohnehin bereits ausgeglichen. Der Eintrag über die Klägerin sei zudem nur auf der alten Version ihrer Homepage vorhanden gewesen. Dieses Versehen sei ihr erst auf den Hinweis der Klägerin im Mai 2021 aufgefallen und danach sofort beseitigt worden.
Klarer Verstoß gegen die Datenschutzvorschriften
Das Gericht sah die Voraussetzungen des Art. 82 DSGVO als erfüllt an. Die Beklagte hätte nach der Beendigung des Arbeitsverhältnisses mit der Klägerin die Informationen von der Internetseite unverzüglich nehmen müssen. Trotz der Aufforderung der Klägerin waren die Informationen aber, sogar mehrere Monate nach Beendigung des Arbeitsverhältnisses immer noch abrufbar gewesen. Mit diesem Verhalten habe die Beklagte nicht nur gegen die bestehenden datenschutzrechtlichen Pflichten, sondern auch gegen die allgemeine Nebenpflicht aus dem Arbeitsverhältnis nach § 241 Abs. 2 BGB verstoßen. Die Informationen waren zudem von Anfang an unzutreffend, weil die Klägerin bei der Beklagten nicht als Biologin, sondern im Büromanagement tätig gewesen war. Dass der Beklagten der Verstoß klar war, zeigte sich nach Auffassung des Gerichts darin, dass sie die Unterlassungserklärung unterschrieben und die 150,00 € gezahlt habe.
Der Umstand, dass es sich um einen Eintrag auf der alten Homepage gehandelt habe trug nach Auffassung des Gerichts nicht zur Entlastung der Beklagten i.S.v. Art. 82 Abs 3 DSGVO bei. Spätestens nach der ersten Aufforderung der Klägerin hätte die Beklagte besonders darauf achten müssen, dass alle Informationen über die Klägerin auch von der alten Homepage gelöscht wurden.
5.000,00 € sind zu viel
Das Gericht sah allerdings lediglich 1.000,00 € Schadensersatz als angemessen an. Hierbei orientierte sich das Gericht z.B. an den Entscheidungen des LAG Köln (Urteil vom 14.09.2020 – 2 Sa 358/20; 300,00 € wegen fahrlässigen Nichtlöschung des Profils). Das Gericht betonte, dass die Klägerin zwar keine immateriellen Beeinträchtigungen vorgetragen habe. Dies sei aber unerheblich, weil Art. 82 DSGVO ebenfalls eine Warn- und Abschreckungsfunktion beinhalte.
Fazit
Die Entscheidung zeigt, welche Konsequenzen den Arbeitgebern drohen, wenn sie in besonders auffälliger Weise gegen die Datenschutzvorschriften verstoßen. Hier hat der Arbeitgeber nicht nur mit von Anfang an unzutreffenden Informationen hantiert sondern diese auch nach Aufforderung der betroffenen Arbeitnehmerin nicht gelöscht. Bei einem derart ungeschickten Verhalten verwundert nicht, dass das Arbeitsgericht einen Schadensersatz nach DSGVO zugesprochen hat. Immerhin ist das Gericht bei der Festlegung der Schadensersatzhöhe moderat geblieben.
Der Schadensersatzanspruch wegen datenschutzrechtlichen Verstößen oder einer zu späten Auskunftserteilung hat die Arbeitsgerichtsbarkeit schon oft beschäftigt, mit unterschiedlichsten Ergebnissen. Es ist zu erwarten, dass sich dieser Trend noch verstärken sind. Der Auskunftsanspruch nach Art. 15 DSGVO wird zudem immer häufiger dazu genutzt den „Lästigkeitsfaktor“ zu erhöhen und vor allem im Rahmen eines Kündigungsschutzprozesses den Arbeitgeber zu Eingeständnissen zu bewegen.
Es dürfte zwar davon auszugehen sein, dass nicht jeder verbliebene Eintrag auf der Homepage sofort einen Anspruch auf Schadensersatz nach DSGVO auslöst. Häufig handelt es sich um bruchhafte Restinformationen die jedoch kein vollständiges Profil des Mitarbeiters darstellen. Die Arbeitgeber sind dennoch gut beraten, nach dem Ausscheiden eines Arbeitnehmers aus dem Beschäftigungsverhältnis die eigene Internetseite zu überprüfen und die Informationen zu löschen, um von vornherein dem Vorwurf eines Datenschutzverstoßes den Boden zu entziehen.
Sie haben Fragen zum Beschäftigtendatenschutz, nehmen Sie Kontakt zu uns auf.