open search
close
Datenschutz Neueste Beiträge

Rechtsprechung zum Datenschutz – nicht immer unerfreulich!

Nicht jeder Verstoß des Arbeitgebers gegen Datenschutzrecht löst einen Schadensersatzanspruch des Arbeitnehmers aus. Voraussetzung sei, dass der geltend gemachte Schaden dem Verstoß auch zugeordnet werden kann. Dies meint das LAG Baden-Württemberg und sieht zudem betriebliche Gestaltungsmöglichkeiten.

Die Datenschutzgrundverordnung (DSGVO) ist eine „Spielwiese“ bei arbeitsrechtlichen Auseinandersetzungen geworden. Die neuen Ansprüche von Arbeitnehmern auf Auskunft, Löschung oder Schadensersatz werden zunehmend – meist taktisch – eingesetzt. Dies missfällt offenkundig den Arbeitsgerichten. So hat das Bundesarbeitsgericht jüngst in einem viel beachteten Urteil einen Auskunftsantrag nach Art. 15 DSGVO kurz und bündig mangels hinreichender Bestimmtheit abgewiesen (BAG v. 27.4.2021, Az. 2 AZR 342/20). Weniger Beachtung fand demgegenüber ein fast zeitgleich ergangenes Urteil des LAG Baden-Württemberg (vgl. Urteil v. 25.02.2021 – 17 Sa 37/20).

Zu Unrecht! Denn das LAG stellte nicht nur fest, dass ein Verstoß gegen datenschutzrechtliche Vorschriften und ein hierbei vom Arbeitnehmer empfundener Nachteil keinen Schadensersatzanspruch auslösen. Daneben betont das LAG in bemerkenswerter Weise, dass eine Betriebsvereinbarung eine Datenverarbeitung auch dann rechtfertigen kann, wenn diese Verarbeitung auf Grundlage der gesetzlichen Erlaubnistatbestände nicht zulässig wäre.

Was ist passiert?

Die beklagte Arbeitgeberin gehörte zu einem Konzern mit Hauptsitz in den USA. Im Jahr 2017 wurde das cloudbasierte Personalmanagementsystem „Workday“ – zunächst zu Testzwecken – eingeführt. Noch vor Inkrafttreten der DSGVO im Jahr 2018 übertrug die Arbeitgeberin personenbezogene Daten des klagenden Arbeitnehmers auf eine konzerninterne Sharepoint-Seite in die USA, um diese Daten testweise in das System Workday zu überführen. Über die Einführung von Workday hatte die Arbeitgeberin zuvor mit dem Betriebsrat eine „Duldungsbetriebsvereinbarung“ abgeschlossen, welche die vorläufige Inbetriebnahme im Testmodus und einen begrenzten Datentransfer gestattete. Die Arbeitgeberin beschränkte sich aber nicht auf die Datenübermittlung, die kraft der Betriebsvereinbarung erlaubt worden war. Sie übertrug vielmehr noch weitere personenbezogene Daten des Arbeitnehmers in die USA (z. B. Monats- und Jahresgehalt, private Wohnanschrift, Vergütung, Alter, Familienstand, Sozialversicherungsnummer, Steuer-ID).

Das Inkrafttreten der DSGVO im Jahr 2018 ließ die Arbeitgeberin vorsichtiger werden. Die Übermittlung und Verarbeitung der Daten durch die Konzernmutter auf dem Sharepoint wurde durch eine Vereinbarung zur Auftragsdatenverarbeitung samt Standardvertragsklauseln abgesichert. Der Arbeitnehmer sah darin gleichwohl einen Verstoß gegen Datenschutzrecht, machte eine Persönlichkeitsrechtsverletzung geltend und verlangte (immateriellen) Schadensersatz. Als Begründung machte er geltend, dass er jederzeit mit einem unkontrollierten Zugriff auf seine personenbezogenen Daten in den USA (etwa durch US-Behörden) hätte rechnen müssen.

Die Entscheidung des LAG

 Das LAG lehnt einen Schadensersatzanspruch des Arbeitnehmers nach Art. 82 Abs. 1 DSGVO ab. Zunächst stellt es jedoch fest, dass die Datenverarbeitung während der Testphase von Workday gesetzlich nicht gerechtfertigt sei. Die Verarbeitung von personenbezogen Daten zu Testzwecken sei weder nach § 26 Abs. 1 BDSG noch nach Art. 6 Abs. 1 DSGVO zulässig. Ein Rechtfertigungsrund für die „ansonsten unzulässige Datenverarbeitung“ könne allerdings in der Duldungsbetriebsvereinbarung gemäß § 26 Abs. 4 BDSG gesehen werden. Diese Rechtfertigung sei jedoch gemäß der Betriebsvereinbarung begrenzt und rechtfertige insoweit keine „überschießende Datenverarbeitung“. Damit liege ein Verstoß gegen die DSGVO im Sinne von Art. 82 Abs. 1 DSGVO vor, weil die Arbeitgeberin auch solche Daten (durch die Konzernmutter) verarbeiten ließ, für welche die Betriebsvereinbarung keine Legitimation darstelle.

Allerdings könne der vom Arbeitnehmer geltend gemachte Schaden (Zugriffsmöglichkeiten von Behörden oder Dritten in den USA bzw. eine diesbezügliche Unsicherheit) dem festgestellten Verordnungsverstoß nicht zugeordnet werden. Die Übertragung der nicht von der Betriebsvereinbarung gedeckten Daten sei vor Inkrafttreten der DSGVO erfolgt. Die weitere Verarbeitung der bereits übertragenen Daten durch die Konzernmutter nach Inkrafttreten der DSGVO stelle keinen Datenabfluss dar, sondern sei auf Grundlage einer rechtmäßigen Auftragsdatenverarbeitung erfolgt. Auch wenn die Daten im System Workday überschießend im Rahmen einer Auftragsdatenverarbeitung verarbeitet worden seien, so habe die Arbeitgeberin doch alle Erfordernisse der DSGVO eingehalten, die Sicherheit der Daten bei der Konzernmutter in den USA sicherzustellen. Allein der Umstand, dass zusätzliche Daten des Arbeitnehmers (Jahres- und Monatsgehalt, private Wohnanschrift, Geburtsdatum, Alter, etc.) in Workday zu Testzwecken verwendet worden seien, löse nach Auffassung der Kammer keinen zuzuordnenden Schaden aus.

 Konsequenzen für die Praxis

Das Urteil enthält gleich mehrere gute Nachrichten für Arbeitgeber: Nicht jedes datenschutzwidrige Verhalten des Arbeitgebers löst einen Anspruch auf einen immateriellen Schadensersatz aus. Hier ist ein Nachweis eines tatsächlichen Schadens durch den Arbeitnehmer erforderlich. Darüber hinaus ergeben sich datenschutzrechtliche Gestaltungspielräume durch Abschluss von Betriebsvereinbarungen. Die an manchen Stellen sicherlich zu restriktiv geratene DSGVO kann so durch die Betriebsparteien mit Augenmaß angepasst und ausgestaltet werden. Dies gilt für die Einigungsstelle in gleicher Weise, die bei datenschutzrelevanten Sachverhalten über das Mitbestimmungsrecht bei technischen Überwachungseinrichten nach § 87 Abs. 1 Nr. 6 BetrVG regelmäßig angerufen werden kann.

Dr. Oliver Vollstädt 

Rechtsanwalt
Fachanwalt für Arbeitsrecht
Partner
Oliver Vollstädt berät Arbeitgeber und Top-Füh­rungs­kräfte in allen Fragen des Arbeits­rechts. Sein besonderes Know-how liegt bei kol­lek­tiv­recht­li­chen Themengebieten mit den Schwer­punkten Restruk­tu­rie­rungsberatung, Ver­hand­lung von Sozi­al­plä­nen und haustariflichen Gestal­tun­gen. Ferner ist Oliver Vollstädt anerkannter Experte in arbeits- und daten­schutz­recht­li­chen Fragen zum Einsatz von IT-Systemen und neuen Medien am Arbeits­platz. Er ist Mitglied der Fokusgruppe "Datenschutz".
Verwandte Beiträge
Datenschutz Legal Tech Neueste Beiträge Unternehmensführung

Kollege Chatbot? – (Arbeitsrechtliche) Chancen und Herausforderungen für den Einsatz von HR-Chatbots

Ob Urlaubsantrag, Onboarding oder Bewerberkommunikation – Chatbots sind dabei, das Personalwesen grundlegend zu verändern. Sie versprechen Effizienz, Verfügbarkeit rund um die Uhr und eine neue Qualität der Mitarbeiterkommunikation. Dieser Beitrag beleuchtet die Einsatzmöglichkeiten von HR-Chatbots und zeigt, welche arbeits- und datenschutzrechtlichen Fallstricke Unternehmen kennen sollten, bevor sie den „Kollegen Chatbot“ einstellen. Einsatzbereiche von HR-Chatbots Die Einsatzmöglichkeiten von HR-Chatbots sind fast endlos: Im Recruiting bietet sich…
Arbeitszeit & Arbeitszeiterfassung Compliance Kollektivarbeitsrecht Neueste Beiträge

Arbeitszeit & Vertragsende: Risiken bei Betriebsratsmitgliedern

Ein Spagat für Arbeitgeber: Mitbestimmung trifft Personalplanung Betriebsratsarbeit und moderne Personalsteuerung – das führt in der Praxis nicht selten zu Spannungsfeldern. Besonders bei befristet beschäftigten Arbeitnehmern, die in den Betriebsrat gewählt werden, stellen sich aus Sicht von HR-Verantwortlichen viele Fragen: Darf ein befristetes Arbeitsverhältnis regulär auslaufen? Muss ich als Arbeitgeber Arbeitszeiten speziell anpassen? Und wann droht der Vorwurf der Benachteiligung nach dem Betriebsverfassungsgesetz? Zwei aktuelle…
Datenschutz Digitalisierung Neueste Beiträge

Vorsicht bei Datenübertragungen auf Grundlage einer Betriebsvereinbarung

In der Praxis dienen Betriebsvereinbarungen oftmals als Rechtsgrundlage für die Verarbeitung von Mitarbeiterdaten. Seit der Entscheidung des Europäischen Gerichtshofs vom 19. Dezember 2024 steht fest: Derartige Betriebsvereinbarungen müssen mit den Vorgaben der DSGVO in Einklang stehen. Mit anderen Worten: Eine gegen die Vorgaben der DSGVO verstoßende Datenverarbeitung kann nicht mittels Betriebsvereinbarung legitimiert werden. In diesem Zusammenhang hat sich das BAG kürzlich mit der Frage auseinandergesetzt,…
Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

 

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert