Das Landesarbeitsgericht Mainz hatte einen Fall zu entscheiden, in dem ein Arbeitgeber seiner Arbeitnehmerin kündigte, weil diese Kundendaten an einen Wettbewerber weitergegeben hatte. Aufgefallen war dies, weil der Arbeitgeber den Computer der Sachbearbeiterin überwachte und dabei feststellte, dass diese Kundendaten an ihren privaten E-Mail-Account versandt hatte.
Wenn es sich auch um eine Entscheidung aus Österreich handelt, lohnt sich auch von Deutschland aus ein Blick auf den Inhalt.
Die Entscheidung des Landgerichts Feldkirch ist zwar schon im Dezember 2019 veröffentlicht worden; dies macht ihren Inhalt aber nicht weniger spannend.
Hintergrund der Entscheidung war eine rechtswidrige Verarbeitung personenbezogener Daten durch ein Unternehmen. Eine Verarbeitung ist nach Art. 5 Abs. 1 lit. a DSGVO nur dann erlaubt, wenn sie in rechtmäßiger Art und Weise durchgeführt wird. Der Kläger beantragte wegen eines Verstoßes gegen diese Regelung und wegen des Verhaltens der Beklagten im Rahmen des Auskunftsrechts Schadensersatz. Die Beklagte hielt dagegen, dass dem Kläger gar kein Schaden entstanden sei. Nach den Feststellungen des Gerichts hatte der Kläger in der Tat weder berufliche noch gesundheitliche Einschränkungen erfahren.
Wie eine Bombe schlug das Urteil des EuGH ein, das jetzt unter dem Namen “Schrems II” bekannt ist. Der Name leitet sich vom Kläger im ursprünglichen Verfahren ab, dem österreichischen Juristen und Datenschutzaktivisten Maximilian Schrems. Er hatte gegen die Übermittlung von Daten durch Facebook in die USA geklagt. Das Gericht, das über die Frage zu entscheiden hatte, legte einige Fragen dem EuGH im Wege eines sogenannten Vorabentscheidungsverfahrens (Art. 267 AEUV) vor. Dies sollte dann schwere Folgen haben, denn von einem Moment auf den nächsten war die gesamte Übertragung personenbezogener Daten in die Vereinigten Staaten von Amerika rechtswidrig und der die Übertragung bis dato legitimierende Privacy Shield gekippt.
Mit der jüngsten Entscheidung des Europäischen Gerichtshofs (EuGH) wurde nach “Safe Harbor” nun auch dessen Nachfolgeabkommen, das “Privacy Shield” als rechtswidrig erklärt. Dieses sollte seit 2016 den Datenschutzaustausch zwischen der EU und den USA rechtssicher regeln.
Dieses Urteil bestärkt auf der einen Seite das hohe Datenschutzniveau der DSGVO, stellt aber Unternehmen vor extrem große Hürden, um eine rechtskonforme Übermittlung personenbezogener Daten an die USA auch weiterhin sicherzustellen.
Die meisten Unternehmen schreien nicht lautstark “Hurra”, wenn sie sich mit Datenschutz beschäftigen soll. Für viele ist es ein extrem lästiges Thema, das sie irgendwie von Gesetzes wegen bearbeiten müssen, obwohl sie dies aber eigentlich nicht wollen.
Aber Schluss mit dem Katzenjammer; der Datenschutz ist nicht nur extrem wichtig in einer immer digitaler werdenden Arbeitswelt. Die Menge der durch Unternehmen verarbeiteter personenbezogener Daten steigt massiv, daher ist der Datenschutz vielmehr auch ein notwendiges Qualitätsmerkmal.
Das Verzeichnis von Verarbeitungstätigkeiten – aber bitte mit Qualität!
Die europäische Datenschutzgrundverordnung (#DSGVO) verlangt in Artikel 30 von Unternehmen, dass sie ein Verzeichnis aller Verarbeitungstätigkeiten – kurz “VVT” – führen, die in ihrem Verantwortungsbereich liegen.
Das VVT ist, aus meiner persönlichen Sicht, das wichtigste Grundlagendokument im Datenschutz. Es gibt darüber Auskunft, welche personenbezogene Daten zu welchen Zwecken und über welche Kategorien betroffener Personen im Unternehmen verarbeitet werden. Des Weiteren erhält es wichtige Informationen darüber, wer die internen und externen Empfänger der personenbezogenen Daten sind, wann die Daten gelöscht werden und welche Maßnahmen zu ihrem Schutz ergriffen wurden (Stichwort: “technische und organisatorische Maßnahmen”).
