Laut DSGVO müssen Unternehmen Einblick in Arbeitnehmerdaten gewähren

Laut DSGVO sind Unternehmen verpflichtet, Arbeitnehmer:innen Einblick in die Arbeitnehmerdaten zu gewähren. Das hat das Bundesarbeitsgericht nun bestätigt.

Arbeitnehmer:innen können gemäß Artikel 15 der Datenschutzgrundverordnung (DSGVO oder auch DS-GVO) von ihren Arbeitgeber:innen eine Kopie der sie betreffenden personenbezogenen Daten verlangen. Klagen Arbeitnehmer:innen allerdings allein auf Aushändigung einer Kopie der personenbezogenen Daten, ist der Antrag zu unbestimmt, so das Bundesarbeitsgericht (BAG) in seiner Entscheidung vom 27. April 2021 (Az. 2 AZR 342/20).

Datenschutzrechtlicher Kopieanspruch auf Arbeitnehmerdaten laut DSGVO

Ziel der DSGVO (beziehungsweise DS-GVO) ist es, Betroffenen ihre Datenhoheit zurückzugeben und so Transparenz zu schaffen. Gemäß Artikel 15 DSGVO können Betroffene von Verantwortlichen eine Bestätigung darüber verlangen, ob sie betreffende personenbezogene Daten verarbeiten.Verantwortliche im Sinne der DSGVO sind hierbei jedes Unternehmen und alle Behörden.

Ist das der Fall, so kann die betroffene Person eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, verlangen. Der datenschutzrechtliche Kopieanspruch aus Artikel 15 III DSGVO findet auch im Arbeitsverhältnis Anwendung. Im Laufe eines Arbeitsverhältnisses sammeln Unternehmen eine Vielzahl von personenbezogenen Arbeitnehmerdaten. Angefangen bei den Bewerbungsunterlagen bis hin zu Gehaltsabrechnungen, Arbeitsunfähigkeitsbescheinigungen, Urlaubsanträgen, dem Protokoll einer Betriebsratsanhörung und dem E-Mail Verkehr mit Kolleg:innen, Vorgesetzten und Kund:innen. Die Verarbeitung personenbezogener Daten findet also fast tagtäglich statt und lässt sich kaum vermeiden, da Kommunikation zu einem Großteil digital erfolgt.

Ob und in welchem Umfang Arbeitnehmer:innen das Recht auf eine Datenkopie gemäß Artikel 15 Abs. 3 DSGVO zusteht, ist mangels höchstrichterlicher Rechtsprechung bislang ungeklärt.

Arbeitnehmer klagt auf Einblick in Datenkopie des Arbeitgebers

Im hier zugrunde liegenden Fall verlangte ein Wirtschaftsjurist von seinem ehemaligen Arbeitgeber unter anderem Auskunft über seine verarbeiteten, personenbezogenen Daten. Desweiteren verlangte er die Überlassung einer Kopie dieser Daten gemäß Art. 15 Abs. 3 DSGVO. Konkret eine Kopie seines E-Mail-Verkehrs sowie der E-Mails, die ihn namentlich erwähnen.

Arbeitsgericht weist Klage auf Einblick in Arbeitnehmerdaten nach DSGVO zunächst ab

Das zuständige Arbeitsgericht wies die Klage ab. Der Kläger ging sodann in Berufung. Das Landesarbeitsgericht entschied, der Kläger habe grundsätzlich einen Anspruch auf Erteilung einer Kopie seiner personenbezogenen Daten. Er könne darüber hinaus aber nicht eine Kopie des gesamten E-Mail-Verkehrs, der ihn betrifft, verlangen.

Bundesarbeitsgericht bewertet Klage auf Einblick in Arbeitnehmerdaten als “nicht hinreichend bestimmt”

Das in zweiter Instanz angerufene Bundesarbeitsgericht (BAG) befand den Klageantrag in seiner Entscheidung vom 27. April 2021 für nicht hinreichend bestimmt im Sinne des § 253 Abs. 2 Nr. 2 ZPO. Der Kläger müsse die E-Mails, von denen eine Kopie zur Verfügung gestellt werden soll, genau bezeichnen. Ansonsten wäre im Vollstreckungsverfahren zweifelhaft, auf welche E-Mails sich die Verurteilung bezieht.

Stufenklage zur Geltendmachung des Rechts auf Einblick in Arbeitnehmerdaten nach DSGVO nötig

Für den Fall, dass Kläger:innen die hinreichende Bestimmung des Klagebegehrens nicht möglich ist, müssten sie laut Bundesarbeitsgericht den Anspruch im Wege einer Stufenklage nach § 254 ZPO geltend machen.

Das bedeutet, Arbeitnehmer:innen müssten zunächst auf Auskunft, dann auf Abgabe einer eidesstattlichen Versicherung und anschließend auf Aushändigung einer Kopie klagen. Daran fehlte es im vorgenannten Verfahren.

Unsere Einschätzung

Das BAG hat mit seiner Entscheidung zu keiner endgültigen Klärung für die Praxis beitragen können. Es ist zu befürchten, dass die Bedeutung des Kopieanspruchs in Zukunft steigen wird. Die Geltendmachung einer umfassenden Auskunftserteilung hat bereits Einzug in Kündigungsschutzklagen und Aufforderungsschreiben gefunden.

Eine Missachtung des datenschutzrechtlichen Auskunftsanspruchs und der damit korrespondierenden Pflicht zur Übergabe der entsprechenden Kopien kann für Unternehmen erhebliche finanzielle Folgen haben. Scheidenden Arbeitnehmer:innen geht es oftmals nicht um die Durchsetzung des Informationserhaltes, sondern um die Verbesserung ihrer Positionen bei den Vergleichsverhandlungen. Gerade bei einer langjährigen Zusammenarbeit ist es nahezu unmöglich, sämtliche vorhandenen E-Mails, die Arbeitnehmer:innen je erhalten oder versendet haben oder in denen deren Name erwähnt wurde, zusammenzustellen. Reagieren Arbeitgeber:innen zu spät oder lückenhaft auf das Auskunftsbegehren, drohen vierstellige Schadensersatzforderungen. Hinzu kommen behördliche Sanktionen. Die Verletzung des Auskunftsanspruchs ist bußgeldbewehrt. Arbeitgeber:innen sollten daher rechtzeitig rechtskonform agieren und den Anspruch ordnungsgemäß erfüllen.

Wenn Sie Unterstützung bei der Frage der Durchsetzbarkeit von datenschutzrechtlichen Ansprüchen benötigen oder wissen möchten, welche Reaktions- und Verteidigungsmöglichkeiten Sie haben, sind wir Ihnen gerne behilflich.

Ein wichtiger Hinweis noch: Unternehmen dürfen personenbezogene Daten neuerdings nicht mehr mittels Telefax übermitteln. Technische Änderungen in den Telefonnetzen sorgen mittlerweile dafür, dass keine exklusiven Leitungen mehr genutzt werden. Fax-Dienste enthalten keinerlei Sicherungsmaßnahmen, um die Vertraulichkeit der Daten zu gewährleisten. Für den Versand personenbezogener Daten müssen sichere Verfahren genutzt werden, wie etwa Ende-zu-Ende verschlüsselte E-Mails oder im Zweifel auch die herkömmliche Post.