Immer wieder kommt es zu Datenschutzverstößen bei Unternehmen, bei denen auch die Daten von Beschäftigten betroffen sind. Solche Datenpannen können auch große Konzerne mit strengen IT-Sicherheitsvorkehrungen betreffen. Für Hacker sind diese Angriffe besonders attraktiv, da hier oftmals sensible Daten von Kunden, Geschäftspartnern und zehntausender Mitarbeiter erbeutet werden können. Angesichts der immer größeren Regelmäßigkeit solcher Vorfälle stellt sich die Frage, welche Rechte die Mitarbeiter in Fällen wie diesen in Bezug auf den Schutz ihrer Daten haben und wann ein Anspruch auf Schadensersatz besteht.
Der Schutz personenbezogener Daten nach der DSGVO gilt auch für Mitarbeiter
Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union gilt auch für den Schutz personenbezogener Daten von Mitarbeitern in einem Unternehmen. Die DSGVO schreibt vor, dass personenbezogene Daten nur erhoben, verarbeitet und gespeichert werden dürfen, wenn es dafür eine rechtliche Grundlage gibt. Darüber hinaus muss das Unternehmen sicherstellen, dass die Daten sicher und vertraulich behandelt werden und dass geeignete technische und organisatorische Maßnahmen getroffen werden, um die Daten vor unbefugtem Zugriff oder Verlust zu schützen.
Die Betroffenenrechte
Wenn personenbezogene Daten von Mitarbeitern dennoch gestohlen oder auf andere Weise kompromittiert werden schreibt die DSGVO vor, dass das Unternehmen innerhalb von 72 Stunden nach Entdeckung einer Datenpanne eine Meldung an die zuständige Datenschutzbehörde machen muss.
Oftmals besteht nach einer solchen Meldung an die Aufsichtsbehörde auch die gesetzliche Pflicht die betroffenen Mitarbeiter über die Datenpanne zu informieren. Die Mitarbeiter sollten dabei insbesondere über den Umfang des Datenverlustes und die Maßnahmen informiert werden, die das Unternehmen ergreifen wird, um die gestohlenen Daten zu schützen. Weiterhin sind die Mitarbeiter dabei zu unterstützen, wenn es darum geht den eigenen Schaden zu begrenzen und Sicherheitsvorkehrungen zu treffen.
Schadensersatz bei Datenschutzverstößen
Dem Arbeitgeber drohen bei einer Verletzung der DSGVO nicht nur Bußgelder der Aufsichtsbehörden, sondern auch Schadensersatzforderungen der Beschäftigten. Art. 82 DSGVO stellt eine eigenständige Haftungsgrundlage dar. Danach haben betroffene Person einen Schadensersatzanspruch, wenn Sie infolge einer Verletzung des Datenschutzes einen materiellen oder immateriellen Schaden erlitten haben. Ein materieller Schaden kann beispielsweise durch den Verlust von Daten, den Diebstahl von Identitätsinformationen oder den finanziellen Verlust aufgrund von Betrug oder Identitätsdiebstahl entstehen.
Ein immaterieller Schaden kann durch den Verlust des Ansehens, den Verlust des Vertrauens oder den Verlust der Würde entstehen. Daneben können auch weitere Ansprüche geltend gemacht werden, wie z.B. Schmerzensgeld oder den Ersatz von Anwaltskosten. Auch die unberechtigte Offenlegung von Daten gegenüber Dritten kann einen Schadensersatzanspruch begründen. Dies ist bei besonders umfangreichen Datenmengen, wie sie oft bei Arbeitgebern vorhanden sind, oft der Fall.
Die DSGVO fordert dabei einen „vollständigen und wirksamen Schadensersatz“. Da die Folgen einer Datenpanne verheerend sein können kommt dem Anspruch auf Schadensersatz bei Datenschutzverstößen eine besondere Bedeutung zu.
Der Datenschutzbeauftragte und die Aufsichtsbehörden
Um sicherzustellen, dass die Rechte der Beschäftigten gewahrt bleiben, gibt es in Deutschland den Datenschutzbeauftragten. Jedes Unternehmen ab einer bestimmten Größe ist verpflichtet, einen solchen Beauftragten zu ernennen, der unabhängig agiert und darauf achtet, dass die Datenschutzvorschriften eingehalten werden. Beschäftigte können sich bei Fragen oder Beschwerden zum Datenschutz jederzeit an den Datenschutzbeauftragten wenden.
Zusätzlich haben Beschäftigte auch das Recht, sich an die Aufsichtsbehörde für den Datenschutz zu wenden, wenn sie der Meinung sind, dass ihre Datenschutzrechte verletzt wurden. Die Aufsichtsbehörde kann dann eine Untersuchung einleiten und gegebenenfalls Sanktionen gegen das Unternehmen verhängen.
Fazit
Um die Rechte und Ansprüche aus der DSGVO durchzusetzen ist es wichtig, dass Arbeitnehmer sich umgehend an ihren Arbeitgeber oder an die zuständige Datenschutzbehörde wenden. Der Arbeitgeber ist verpflichtet, eine Datenpanne unverzüglich zu melden und angemessene Maßnahmen zu ergreifen, um den Schaden zu begrenzen und zukünftige Datenpannen zu vermeiden. Dazu gehört auch die Information der betroffenen Beschäftigten. Daneben steht den Betroffenen häufig auch aus Art. 82 DSGVO ein Schadensersatz zu, der den materiellen und den immateriellen Schaden erfasst.
Können wir Ihnen weiterhelfen?
Sie sind Betroffener einer Datenpanne? Wir unterstützen Sie bei der Einschätzung und Durchsetzung Ihrer Rechte und Ansprüche. Sprechen Sie uns gerne an! Sie können uns telefonisch unter 0511 374 98 150 oder per E-Mail unter kontakt@recht-im-internet.de erreichen.