open search
close
Datenschutz Neueste Beiträge

Rechtsprechung zum Datenschutz – nicht immer unerfreulich!

Print Friendly, PDF & Email

Nicht jeder Verstoß des Arbeitgebers gegen Datenschutzrecht löst einen Schadensersatzanspruch des Arbeitnehmers aus. Voraussetzung sei, dass der geltend gemachte Schaden dem Verstoß auch zugeordnet werden kann. Dies meint das LAG Baden-Württemberg und sieht zudem betriebliche Gestaltungsmöglichkeiten.

Die Datenschutzgrundverordnung (DSGVO) ist eine „Spielwiese“ bei arbeitsrechtlichen Auseinandersetzungen geworden. Die neuen Ansprüche von Arbeitnehmern auf Auskunft, Löschung oder Schadensersatz werden zunehmend – meist taktisch – eingesetzt. Dies missfällt offenkundig den Arbeitsgerichten. So hat das Bundesarbeitsgericht jüngst in einem viel beachteten Urteil einen Auskunftsantrag nach Art. 15 DSGVO kurz und bündig mangels hinreichender Bestimmtheit abgewiesen (BAG v. 27.4.2021, Az. 2 AZR 342/20). Weniger Beachtung fand demgegenüber ein fast zeitgleich ergangenes Urteil des LAG Baden-Württemberg (vgl. Urteil v. 25.02.2021 – 17 Sa 37/20).

Zu Unrecht! Denn das LAG stellte nicht nur fest, dass ein Verstoß gegen datenschutzrechtliche Vorschriften und ein hierbei vom Arbeitnehmer empfundener Nachteil keinen Schadensersatzanspruch auslösen. Daneben betont das LAG in bemerkenswerter Weise, dass eine Betriebsvereinbarung eine Datenverarbeitung auch dann rechtfertigen kann, wenn diese Verarbeitung auf Grundlage der gesetzlichen Erlaubnistatbestände nicht zulässig wäre.

Was ist passiert?

Die beklagte Arbeitgeberin gehörte zu einem Konzern mit Hauptsitz in den USA. Im Jahr 2017 wurde das cloudbasierte Personalmanagementsystem „Workday“ – zunächst zu Testzwecken – eingeführt. Noch vor Inkrafttreten der DSGVO im Jahr 2018 übertrug die Arbeitgeberin personenbezogene Daten des klagenden Arbeitnehmers auf eine konzerninterne Sharepoint-Seite in die USA, um diese Daten testweise in das System Workday zu überführen. Über die Einführung von Workday hatte die Arbeitgeberin zuvor mit dem Betriebsrat eine „Duldungsbetriebsvereinbarung“ abgeschlossen, welche die vorläufige Inbetriebnahme im Testmodus und einen begrenzten Datentransfer gestattete. Die Arbeitgeberin beschränkte sich aber nicht auf die Datenübermittlung, die kraft der Betriebsvereinbarung erlaubt worden war. Sie übertrug vielmehr noch weitere personenbezogene Daten des Arbeitnehmers in die USA (z. B. Monats- und Jahresgehalt, private Wohnanschrift, Vergütung, Alter, Familienstand, Sozialversicherungsnummer, Steuer-ID).

Das Inkrafttreten der DSGVO im Jahr 2018 ließ die Arbeitgeberin vorsichtiger werden. Die Übermittlung und Verarbeitung der Daten durch die Konzernmutter auf dem Sharepoint wurde durch eine Vereinbarung zur Auftragsdatenverarbeitung samt Standardvertragsklauseln abgesichert. Der Arbeitnehmer sah darin gleichwohl einen Verstoß gegen Datenschutzrecht, machte eine Persönlichkeitsrechtsverletzung geltend und verlangte (immateriellen) Schadensersatz. Als Begründung machte er geltend, dass er jederzeit mit einem unkontrollierten Zugriff auf seine personenbezogenen Daten in den USA (etwa durch US-Behörden) hätte rechnen müssen.

Die Entscheidung des LAG

 Das LAG lehnt einen Schadensersatzanspruch des Arbeitnehmers nach Art. 82 Abs. 1 DSGVO ab. Zunächst stellt es jedoch fest, dass die Datenverarbeitung während der Testphase von Workday gesetzlich nicht gerechtfertigt sei. Die Verarbeitung von personenbezogen Daten zu Testzwecken sei weder nach § 26 Abs. 1 BDSG noch nach Art. 6 Abs. 1 DSGVO zulässig. Ein Rechtfertigungsrund für die „ansonsten unzulässige Datenverarbeitung“ könne allerdings in der Duldungsbetriebsvereinbarung gemäß § 26 Abs. 4 BDSG gesehen werden. Diese Rechtfertigung sei jedoch gemäß der Betriebsvereinbarung begrenzt und rechtfertige insoweit keine „überschießende Datenverarbeitung“. Damit liege ein Verstoß gegen die DSGVO im Sinne von Art. 82 Abs. 1 DSGVO vor, weil die Arbeitgeberin auch solche Daten (durch die Konzernmutter) verarbeiten ließ, für welche die Betriebsvereinbarung keine Legitimation darstelle.

Allerdings könne der vom Arbeitnehmer geltend gemachte Schaden (Zugriffsmöglichkeiten von Behörden oder Dritten in den USA bzw. eine diesbezügliche Unsicherheit) dem festgestellten Verordnungsverstoß nicht zugeordnet werden. Die Übertragung der nicht von der Betriebsvereinbarung gedeckten Daten sei vor Inkrafttreten der DSGVO erfolgt. Die weitere Verarbeitung der bereits übertragenen Daten durch die Konzernmutter nach Inkrafttreten der DSGVO stelle keinen Datenabfluss dar, sondern sei auf Grundlage einer rechtmäßigen Auftragsdatenverarbeitung erfolgt. Auch wenn die Daten im System Workday überschießend im Rahmen einer Auftragsdatenverarbeitung verarbeitet worden seien, so habe die Arbeitgeberin doch alle Erfordernisse der DSGVO eingehalten, die Sicherheit der Daten bei der Konzernmutter in den USA sicherzustellen. Allein der Umstand, dass zusätzliche Daten des Arbeitnehmers (Jahres- und Monatsgehalt, private Wohnanschrift, Geburtsdatum, Alter, etc.) in Workday zu Testzwecken verwendet worden seien, löse nach Auffassung der Kammer keinen zuzuordnenden Schaden aus.

 Konsequenzen für die Praxis

Das Urteil enthält gleich mehrere gute Nachrichten für Arbeitgeber: Nicht jedes datenschutzwidrige Verhalten des Arbeitgebers löst einen Anspruch auf einen immateriellen Schadensersatz aus. Hier ist ein Nachweis eines tatsächlichen Schadens durch den Arbeitnehmer erforderlich. Darüber hinaus ergeben sich datenschutzrechtliche Gestaltungspielräume durch Abschluss von Betriebsvereinbarungen. Die an manchen Stellen sicherlich zu restriktiv geratene DSGVO kann so durch die Betriebsparteien mit Augenmaß angepasst und ausgestaltet werden. Dies gilt für die Einigungsstelle in gleicher Weise, die bei datenschutzrelevanten Sachverhalten über das Mitbestimmungsrecht bei technischen Überwachungseinrichten nach § 87 Abs. 1 Nr. 6 BetrVG regelmäßig angerufen werden kann.

Dr. Oliver Vollstädt 

Rechtsanwalt
Fachanwalt für Arbeitsrecht
Partner
Oliver Vollstädt berät Arbeitgeber und Top-Füh­rungs­kräfte in allen Fragen des Arbeits­rechts. Sein besonderes Know-how liegt bei kol­lek­tiv­recht­li­chen Themengebieten mit den Schwer­punkten Restruk­tu­rie­rungsberatung, Ver­hand­lung von Sozi­al­plä­nen und haustariflichen Gestal­tun­gen. Ferner ist Oliver Vollstädt anerkannter Experte in arbeits- und daten­schutz­recht­li­chen Fragen zum Einsatz von IT-Systemen und neuen Medien am Arbeits­platz. Er ist Mitglied der Fokusgruppe "Datenschutz".
Verwandte Beiträge
Compliance Datenschutz Neueste Beiträge

Neues EuGH-Urteil zum Datenschutz: Betriebsvereinbarungen müssen umfassend DSGVO-konform sein

Im Beschäftigungskontext können Betriebsvereinbarungen als Rechtsgrundlage für die Verarbeitung von Mitarbeiterdaten herangezogen werden. Die Betriebsparteien dürfen eine Datenverarbeitung jedoch nicht beliebig legitimieren. Vielmehr müssen die Vorgaben der DSGVO als Mindeststandard eingehalten werden. Eine Datenverarbeitung, die nach den gesetzlichen Erlaubnistatbeständen unzulässig wäre, kann damit nicht auf eine Betriebsvereinbarung gestützt werden. Dies hat der EuGH in einer aktuellen Entscheidung klargestellt. Nach Art. 88 Abs. 1 DSGVO können…
Compliance Datenschutz Individualarbeitsrecht Kollektivarbeitsrecht Neueste Beiträge Top-Management

Arbeitsrecht im Jahr 2024: Die Top 5

Rechtzeitig zu den Silvester-Vorbereitungen lesen Sie hier unseren Jahresrückblick auf eine kleine Auswahl an beachtenswerten und für das Arbeitsrecht relevanten Urteilen. Besonders bewegt haben uns im Jahr 2024: Schadensersatzforderungen nach DSGVO-Auskunftsverlangen, Zielvereinbarungs-Boni, Überstundenvergütungen von Teilzeitkräften, die Konzernleihe sowie entschädigungsfreie Wettbewerbsverbote. Top 1 – Auskunftsverlangen nach Art. 15 DSGVO – Schadensersatzrisiko entschärft Schadensersatzforderungen des Arbeitnehmers wegen eines angeblichen Datenschutzverstoßes des Arbeitgebers waren ein beliebtes Instrument, um…
Internationales Arbeitsrecht Neueste Beiträge Urlaub

Perks for employees’ parents: unwrapping the new rules on holiday vouchers

Back in 2019, the government of Slovakia introduced what it called the ‘recreation allowance’ to boost domestic tourism. It requires certain employers to contribute financially to domestic trips taken by eligible employees. From 1 January 2025, the allowance will be extended to the parents of those employees. This is an innovative and, in many ways, welcome move, but it raises some questions about how employers…
Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

 

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert