Gehören Sie auch zu den Unternehmen, die Fotos ihrer Mitarbeiter auf ihrer Firmenwebsite veröffentlichen? Klar, es wirkt authentischer, wenn dort die eigenen Leute zu sehen sind. Aber dabei gibt es, einiges zu beachten, ansonsten drohe hohe Schadensersatzforderungen! In dem Bereich konkurrieren DSGVO, Kunsturhebergesetz (KUG) und die Rechtsprechung des Bundesarbeitsgerichts. Um auf der sicheren Seite zu sein, sollte man alle drei beachten: Fotos sind personenbezogene Daten und dürfen grundsätzlich nur mit schriftlicher, informierter, freiwilliger, vorheriger Einwilligung der Abgebildeten verbreitet werden (siehe u.a. DSGVO Art. 6 und Art. 26 und §22/23 KUG).
Im Sommer 2023 nun verurteilte das Landesarbeitsgericht Baden-Württemberg – übrigens kein Einzelfall – ein Unternehmen zur Zahlung von 10.000 Euro Schadensersatz nach Art. 82 Abs. 1 DSGVO an einen Ex- Mitarbeiter, da es fast ein Jahr dauerte, bis jener von der Online-Präsenz seines früheren Arbeitgebers verschwunden war. In einem vierminütigen Werbevideo sah man dort auch Monate nach seinem Ausscheiden, wie der Ex-Mitarbeiter Fachschulungen durchführt. Die Videos wurde zwar mit dem Wissen und Einverständnis des Mitarbeiters aufgezeichnet – nach Art. 7 DSGVO hat man jedoch das Recht, sein Einverständnis jederzeit zu widerrufen.
Zwar bedeutet das Ende eines Arbeitsverhältnisses nicht automatisch, dass der Arbeitgeber Fotos oder Videos von Ex-Mitarbeitern löschen muss. Allerdings war das Gericht im konkreten Fall davon überzeugt, dass das Einverständnis des Mitarbeiters nicht mehr gegeben war. Dieser hatte nach seinem Ausscheiden seinen Ex-Chef mehrmals per WhatsApp um Löschung gebeten. Erst als das nicht fruchtete, schaltete er einen Anwalt ein. Nach Eingang des anwaltlichen Schreibens wurde das Video dann offline genommen.
Der Ex-Mitarbeiter hat direkt im Anschluss in vergleichbarer Position bei einem Wettbewerber angefangen – und dort wegen der Fotos und des Videos auf der Webseite und der Facebook-Seite der Konkurrenz der Illoyalität bezichtigt. Für diesen erlittenen immateriellen Schaden empfand das Landesarbeitsgericht die 3000 Euro Entschädigung der Vorinstanz wegen Verstoßes gegen Art. 17 Abs. 3 Satz 1 DSGVO als zu gering und erhöhte diese auf 10.000 Euro, da dort nicht einberechnet wurde, wie viel Gewinn der Arbeitgeber aus der Rechtsverletzung gezogen hatte.
Zum Thema Schadensersatz bei immateriellen Schäden gab es noch eine Reihe weiterer Urteile: In einem Fall hatten Beschäftigte eines Elektronikmarkts Daten eines Kunden versehentlich einem anderen Kunden ausgehändigt. Dies reicht laut EuGH noch nicht als Beleg, dass die technischen und organisatorischen Maßnahmen, die der Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 DSGVO waren.
Vielmehr muss für einen Anspruch auf Schadensersatz nachgewiesen sein, dass sowohl ein Verstoß gegen die DSGVO vorliegt als auch, dass dadurch ein materieller oder immaterieller Schaden entstanden ist. Die berechtigte Befürchtung einer missbräuchlichen Verwendung der Daten kann ein immaterieller Schaden sein, der Betroffene muss diesen Schaden aber nachweisen können. Diese Auffassung bestätigt auch der Bundesgerichtshof.
Denn der Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO hat eine Ausgleichsfunktion und keine Straffunktion. Eine auf ihn gestützte finanzielle Entschädigung soll es ermöglichen, den konkret aufgrund des Datenschutzverstoßes erlittenen Schaden vollständig auszugleichen. Bei dessen Bemessung muss die Schwere des begangenen Verstoßes nicht berücksichtigt werden. Vorliegend hatte der Kunde, der die Daten versehentlich erhalten hatte, nachgewiesenermaßen nicht zur Kenntnis genommen, sodass auch kein „immaterieller Schaden“ vorlag.
Beim Kammergericht Berlin ist auch noch das Verfahren zu einem 14,5 Mio. Euro hohen Bußgeld gegen die „Deutsche Wohnen“ (inzwischen Teil von Vonovia) anhängig, bei der Mieterdaten länger als erforderlich gespeichert wurden. Kürzlich hat der angerufene EuGH vorab entschieden, dass ein DSGVO-Verstoß auch dann eine Geldbuße gegen ein Unternehmen nach sich ziehen kann, wenn der Verstoß nicht einer identifizierten natürlichen Person als Vertreter des Unternehmens zugeordnet werden kann. Dieses Zurechnungsprinzip sieht §30 des deutschen Ordnungswidrigkeitengesetzes (OWiG) eigentlich vor, daher hatte das Berliner Landgericht den Bußgeldbescheid in der Vorinstanz für ungültig erklärt.
Da Art. 83 DSGVO eine solche Zurechnungskette vom Delikt zu einer natürlichen Person und von dieser zur juristischen Person nicht vorschreibt, legte das Kammergericht den Fall dem EuGH vor. Und der entschied: Eine juristische Person haftet auch dann, wenn unklar bleibt, wer genau den Verstoß begangen hat. Es ist nicht erforderlich, dass der Verstoß von einem Leitungsorgan begangen wurde oder dass dieses Organ überhaupt davon wusste – die DSGVO sei nicht aus dem Blickwinkel des deutschen Ordnungswidrigkeitenrechts auszulegen.
Voraussetzung ist aber ein vorsätzliches oder fahrlässiges (d.h. schuldhaftes) Verhalten des datenschutzrechtlich Verantwortlichen, im Fall eines Unternehmens also der juristischen Person. Ein dem Unternehmen zugeordneter Pflichtenverstoß reicht wiederum nicht aus, um ein Bußgeld zu verhängen. Das Kammergericht Berlin muss nun abschließend entscheiden, in welchem Umfang die nationalen Vorschriften zum Bußgeldverfahren im OWiG mit dem europäischen Verständnis von der Festsetzung von Geldbußen vereinbar sind und ob die Geldbuße in der festgesetzten Höhe gerechtfertigt war.