Achillesferse DSGVO: Wenn die Auskunftspflicht vor dem Arbeitsgericht zum Fallstrick wird

Am 27.04.2021 hat das Bundesarbeitsgericht (BAG) ein Urteil darüber gefällt, wie weit die Auskunftspflicht des Arbeitgebers gemäß Artikel 15 reicht. Ein gekündigter Mitarbeiter hatte gefordert, dass ihm alle über ihn gespeicherten Daten sowie Kopien des gesamten E-Mailverkehrs zwischen ihm und dem Unternehmen, ja sogar die bloße Erwähnung seines Namens in der Geschäftskorrespondenz, ausgehändigt werden sollten.

Das BAG wies die Klage des Angestellten mit der Begründung ab, dass der Antrag auf Überlassung von E-Mail-Kopien nicht gemäß der Zivilprozessordnung (ZPO) eingereicht worden war. Demnach hatte der Kläger die E-Mails, von denen er Kopien haben wollte, nicht ausreichend bezeichnet. Dadurch wurde nicht klar, auf welche E-Mails sich die Richter bei einer Verurteilung in einem Vollstreckungsverfahren beziehen sollten. Das Recht auf die Herausgabe von Kopien ist damit nach wie vor nicht genau geklärt. Es begrenzt aber den datenschutzrechtlichen Auskunftsanspruch darauf, dass der Arbeitnehmer angehalten ist, die gewünschten Unterlagen genau zu bezeichnen.

„Dadurch, dass das BAG die Klage abgewiesen hat, wird die Auskunftspflicht für Unternehmen praktikabler. Angesichts der wachsenden Datenmengen kann es eine Sisyphus-Arbeit sein, dem Herausgabeanspruch nachzukommen“, erklärt Marc Ahlgrim, Digital Transformation Specialist Risk Mitigation and Compliance, GDPR, bei Veritas Technologies. „Die DSGVO bleibt aber dennoch ein Druckmittel in Konflikten vor dem Arbeitsgericht. Daher ist es wichtig, die personenbezogenen Daten schnell und effizient zu finden.“ In diesem Fall kann die Klassifizierung und in einem zweiten Schritt die Indizierung der Daten helfen.

Für Auskunftsansprüche gewappnet sein: Sensible Daten klassifizieren und indizieren

Zunächst braucht es einen Überblick, wo welche Informationen gespeichert sind. Keine leichte Aufgabe, vor allem wenn die Daten auf unterschiedlichen Speicherorten lagern, sowohl lokal als auch in der Cloud. Denn dadurch ist es für Firmen schwer, Auskunft darüber zu geben, welche Informationen sie besitzen, und wo sich diese befinden. Deswegen ist es wichtig, Daten zu klassifizieren, um sogenannte Subject Access Requests (SAR) einhalten zu können. „Ein manuelles Suchen ist in der Regel bei großen Datenmengen schwer durchsetzbar sowie arbeitsintensiv und inkonsistent. Mit einer Klassifizierungstechnik werden sensible Daten so verwaltet, dass sie einfacher auffindbar sind, während sich redundante Daten leichter löschen lassen“, so Ahlgrim.

Werden Daten im Unternehmen abgespeichert, kommt es darauf an, sie durch entsprechende Software-Lösungen automatisiert mit Metadaten zu versehen und diese damit zu indizieren. Über die Indizierung lässt sich die Suche entsprechend anpassen – etwa durch die Verwendung von Schlüsselwörtern oder Keyphrases. Auf diese Weise sind die betreffenden Daten schnell auffindbar.

Mit den Funktionen zur schnellen Identifikation des Aufbewahrungsorts und Inhalts der Daten haben Unternehmen die maßgeblichen Tools an der Hand, um Compliance-Verstöße zu verhindern. „Das Verfahren hat eine gewisse Klarheit gebracht, inwieweit die DSGVO als Angriffspunkt gegen Arbeitgeber dienen kann, etwa um die Interessen ehemaliger Mitarbeiter durchzusetzen. Dennoch sollten Unternehmen den Auskunftsanspruch der DSGVO nicht unterschätzen und sensible Daten stets so handhaben, dass eine Herausgabe schnell und umfassend möglich ist“, erläutert Ahlgrim abschließend.

Mehr Informationen finden Sie unter www.veritas.com/de