Fall:
Geklagt hatte der Betriebsratsvorsitzende eines Unternehmens in Sachsen. Er hatte parallel zu seinem Amt als Betriebsratsvorsitzender die Aufgabe als stellvertretender Gesamtbetriebsratsvorsitzender des Mutterkonzerns übernommen. Zudem bestellte ihn sein Arbeitgeber im Jahr 2015 wirksam zum betrieblichen Datenschutzbeauftragten. Darüber hinaus bestellten ihn 3 weitere Konzerngesellschaften als externen Datenschutzbeauftragten. Ziel des Konzerns war es dabei, einen einheitlichen Datenschutz zu gewähren.
Landesbeauftragter für Datenschutz zweifelt an Zuverlässigkeit
2 Jahre später, nachdem die entsprechenden Vorgänge abgeschlossen waren, behauptete der zuständige Landesbeauftragte für Datenschutz in Thüringen (Sitz der Muttergesellschaft), dass dem Betriebsratsvorsitzenden die für das Amt als Datenschutzbeauftragter notwendige Zuverlässigkeit fehle. Außerdem argumentierte er, dass eine Interessenkollision vorliege – wegen des Doppelmandats. Das nahm der Arbeitgeber zum Anlass, den Betriebsrat von dem Posten des Datenschutzbeauftragten ab-zusetzen. Dagegen ging der Arbeitnehmer gerichtlich vor – mit Erfolg.
Gericht:
Bestellung als Datenschutzbeauftragter ist in Ordnung
Das Gericht entschied, dass die Mitgliedschaft eines Arbeitnehmers im Betriebsrat den Arbeitgeber nicht daran hindere, den Arbeitnehmer als Datenschutzbeauftragten zu bestellen. Das gelte auch für den Betriebsratsvorsitzenden. Das begründeten die Richter mit einer Entscheidung des Bundesarbeitsgerichts (Urteil vom 23.3.2011, Az. 10 AZR 562/09). Darin hatten die Richter entschieden, dass die bloße Mitgliedschaft im Betriebsrat die Person nicht für das Amt eines Datenschutzbeauftragten unzuverlässig mache.
Verlangen des Widerrufs kam von unzuständiger Stelle
Das Gericht ging in seiner Entscheidung zudem darauf ein, dass der Arbeitgeber auf ein entsprechen-des Verlangen des zuständigen Landesbeauftragten für Datenschutz in Thüringen gehandelt habe. Dieser sei jedoch nicht zuständig gewesen. In Thüringen befand sich lediglich der Mutterkonzern. Die Richter stellten klar, dass nur der zuständige Landesbeauftragte für Datenschutz in Sachsen den Widerruf hätte verlangen können. Sie gingen allerdings davon aus, dass auch ein Widerruf des zuständigen Landesbeauftragten für Datenschutz ins Leere gelaufen wäre. Denn es fehlte nach Ansicht des Gerichts an einem für einen wirksamen Widerruf notwendigen wichtigen Grund im Sinne des § 626 des Bürgerlichen Gesetzbuchs.
Ergebnis:
Nach Artikel 37 Datenschutz-Grundverordnung (DSGVO) benötigen alle Unternehmen, die personenbezogene Daten automatisiert verarbeiten, einen Datenschutzbeauftragten. Dieses Amt kann auch der Betriebsratsvorsitzende ausfüllen.
Fall:
Ein Arbeitnehmer war vom 15.06.2018 bis zum 09.10.2018 in einer Pflegeeinrichtung tätig. Im August erteilte der Arbeitnehmer seinem Arbeitgeber schriftlich seine Zustimmung für einen Aushang mit einem aus den Bewerbungsunterlagen entnommenen Bild. Anschließend veröffentlichte der Arbeitgeber auf seiner Facebook-Seite einen dem Aushang identischen Post. Mitte September schickte der Arbeitnehmer seinem Arbeitgeber eine E-Mail vom 16.09.2018 mit folgendem Inhalt: „Sollte ich den Arbeitsvertrag bis Mittwoch nicht per Mail erhalten haben, so darf ich Sie bitten, mein Foto von der Website mit der Bezeichnung ,Pflegedienstleitung‘ zu nehmen und auch die Patienten bis Freitag, den 21.09.2018, darüber in Kenntnis zu setzen, dass es sich um einen Irrtum handelt, oder was auch immer Sie angeben wollen. Ich möchte nicht, dass in der Öffentlichkeit mit meiner Person in irgendeiner Weise geworben wird, die nicht den Tatsachen entspricht.“ Der Arbeitgeber löschte daraufhin das Foto von der Homepage. Er vergaß dabei jedoch, dass sich das Foto nebst Namen noch auf der Facebook-Seite der Pflegeeinrichtung befand. Dieses entfernte er erst auf anwaltliche Aufforderung Ende Oktober 2018.Der ehemalige Mitarbeiter klagte nunmehr auf Schmerzensgeld, weil der Arbeitgeber in unrechtmäßiger Weise seine personenbezogenen Daten verarbeitet habe. Er habe in die Nutzung des Bildes und seines Namens auf Facebook nicht eingewilligt, insbesondere nicht schriftlich. Selbst wenn von einer rechtswirksamen Einwilligung ausgegangen werden könnte, habe er diese mit E-Mail vom 16.09.2018 widerrufen.
Gericht:
Das Arbeitsgericht (ArbG) Lübeck sah es im Rahmen der Bewilligung von Prozesskostenhilfe genauso. Der ehemalige Arbeitnehmer habe einen Anspruch auf Schmerzensgeld gegen seinen früheren Arbeitgeber nach § 82 Abs. 1 Datenschutz-Grundverordnung (DS-GVO). Es fehlte bereits an einer wirksamen Einwilligung des ehemaligen Mitarbeiters. Eine solche bedürfe grundsätzlich der Schriftform. Auch ein anderer Erlaubnistatbestand habe nicht vorgelegen. So sei die Veröffentlichung des Facebook-Posts weder für Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses noch zur Wahrung der berechtigten Interessen des Arbeitgebers erforderlich gewesen. Ausgehend von den konkreten Umständen des Einzelfalls, liege hier die Obergrenze für eine noch vertretbare Höhe des begehrten Schmerzensgelds bei 1.000 €.
Fall:
Ein Arbeitnehmer war bei seinem Arbeitgeber als SAP-Berater beschäftigt. Eines Tages bestellte der Arbeitnehmer vom Rechner eines Spielcasinos aus Kopfschmerztabletten für 2 Vorstandsmitglieder einer Kundin seines Arbeitgebers. Dabei griff er für die Zahlung per Lastschrift auf zuvor von einem verschlüsselten Rechner der Kundin auf einen privaten Memory-Stick heruntergeladene Namen, Anschriften und Bankverbindungsdaten von Kunden der Kundin zurück. Im Rahmen der Bestellung ließ der Arbeitnehmer dem Vorstand der Kundin die Anmerkung zukommen, dass er auf Grund der Bestellung sehen könnte, wie einfach Datenmissbrauch sei. Dies müsste bei ihm zu Kopfschmerzen führen, wobei die bestellten Kopfschmerztabletten durchaus helfen könnten. Seinen Arbeitgeber hatte er zuvor nicht über solche Sicherheitslücken bei der Kundin informiert. Der Arbeitgeber kündigte daraufhin das Arbeitsverhältnis mit dem Arbeitnehmer fristlos. Der Arbeitnehmer klagte dagegen.
Gericht:
Das Arbeitsgericht (ArbG) Siegburg sah die Kündigung als rechtmäßig an. Mit diesem Verhalten habe der Arbeitnehmer gegen seine Pflicht zur Rücksichtnahme auf die Interessen des Arbeitgebers eklatant verstoßen. Sensible Kundendaten seien zu schützen. Der Arbeitnehmer habe seine Datenzugriffsmöglichkeiten missbraucht und eine Sicherheitslücke beim Kunden ausgenutzt. Auch für das Aufdecken vermeintlicher Sicherheitslücken dürften Kundendaten nicht missbraucht werden. Der Arbeitneh-mer habe somit massiv das Vertrauen der Kundin in die Arbeit des Arbeitgebers gestört und damit die Kundenbeziehung massiv gefährdet. Dies rechtfertige eine fristlose Kündigung (ArbG Siegburg, Urteil vom 15.01.2020, Az.: 3Ca 1793/19).
Der volle Zugriff steht nur Kunden eines Personalwissen-Produkts zur Verfügung. Besuchen Sie uns auf unserer Webseite www.personalwissen.de und erkundigen Sie sich über unsere Produkte.
Sie sind bereits Personalwissen-Kunde folgender Produkte:
Durch das umfangreiche Serviceangebot dieser Produkte, können Sie das Arbeitsrechtarchiv in seinem vollen Umfang nutzen. Bitte registrieren Sie sich mit Ihrer Kundennummer im Online Bereich Ihres Produktes unter https://premium.vnr.de/
Unter der Kategorie Arbeitsrechtarchiv finden Sie den direkten Zugang zum unlimited Arbeitsrechtarchiv.
