open search
close
Datenschutz Neueste Beiträge

Rechtsprechung zum Datenschutz – nicht immer unerfreulich!

Print Friendly, PDF & Email

Nicht jeder Verstoß des Arbeitgebers gegen Datenschutzrecht löst einen Schadensersatzanspruch des Arbeitnehmers aus. Voraussetzung sei, dass der geltend gemachte Schaden dem Verstoß auch zugeordnet werden kann. Dies meint das LAG Baden-Württemberg und sieht zudem betriebliche Gestaltungsmöglichkeiten.

Die Datenschutzgrundverordnung (DSGVO) ist eine „Spielwiese“ bei arbeitsrechtlichen Auseinandersetzungen geworden. Die neuen Ansprüche von Arbeitnehmern auf Auskunft, Löschung oder Schadensersatz werden zunehmend – meist taktisch – eingesetzt. Dies missfällt offenkundig den Arbeitsgerichten. So hat das Bundesarbeitsgericht jüngst in einem viel beachteten Urteil einen Auskunftsantrag nach Art. 15 DSGVO kurz und bündig mangels hinreichender Bestimmtheit abgewiesen (BAG v. 27.4.2021, Az. 2 AZR 342/20). Weniger Beachtung fand demgegenüber ein fast zeitgleich ergangenes Urteil des LAG Baden-Württemberg (vgl. Urteil v. 25.02.2021 – 17 Sa 37/20).

Zu Unrecht! Denn das LAG stellte nicht nur fest, dass ein Verstoß gegen datenschutzrechtliche Vorschriften und ein hierbei vom Arbeitnehmer empfundener Nachteil keinen Schadensersatzanspruch auslösen. Daneben betont das LAG in bemerkenswerter Weise, dass eine Betriebsvereinbarung eine Datenverarbeitung auch dann rechtfertigen kann, wenn diese Verarbeitung auf Grundlage der gesetzlichen Erlaubnistatbestände nicht zulässig wäre.

Was ist passiert?

Die beklagte Arbeitgeberin gehörte zu einem Konzern mit Hauptsitz in den USA. Im Jahr 2017 wurde das cloudbasierte Personalmanagementsystem „Workday“ – zunächst zu Testzwecken – eingeführt. Noch vor Inkrafttreten der DSGVO im Jahr 2018 übertrug die Arbeitgeberin personenbezogene Daten des klagenden Arbeitnehmers auf eine konzerninterne Sharepoint-Seite in die USA, um diese Daten testweise in das System Workday zu überführen. Über die Einführung von Workday hatte die Arbeitgeberin zuvor mit dem Betriebsrat eine „Duldungsbetriebsvereinbarung“ abgeschlossen, welche die vorläufige Inbetriebnahme im Testmodus und einen begrenzten Datentransfer gestattete. Die Arbeitgeberin beschränkte sich aber nicht auf die Datenübermittlung, die kraft der Betriebsvereinbarung erlaubt worden war. Sie übertrug vielmehr noch weitere personenbezogene Daten des Arbeitnehmers in die USA (z. B. Monats- und Jahresgehalt, private Wohnanschrift, Vergütung, Alter, Familienstand, Sozialversicherungsnummer, Steuer-ID).

Das Inkrafttreten der DSGVO im Jahr 2018 ließ die Arbeitgeberin vorsichtiger werden. Die Übermittlung und Verarbeitung der Daten durch die Konzernmutter auf dem Sharepoint wurde durch eine Vereinbarung zur Auftragsdatenverarbeitung samt Standardvertragsklauseln abgesichert. Der Arbeitnehmer sah darin gleichwohl einen Verstoß gegen Datenschutzrecht, machte eine Persönlichkeitsrechtsverletzung geltend und verlangte (immateriellen) Schadensersatz. Als Begründung machte er geltend, dass er jederzeit mit einem unkontrollierten Zugriff auf seine personenbezogenen Daten in den USA (etwa durch US-Behörden) hätte rechnen müssen.

Die Entscheidung des LAG

 Das LAG lehnt einen Schadensersatzanspruch des Arbeitnehmers nach Art. 82 Abs. 1 DSGVO ab. Zunächst stellt es jedoch fest, dass die Datenverarbeitung während der Testphase von Workday gesetzlich nicht gerechtfertigt sei. Die Verarbeitung von personenbezogen Daten zu Testzwecken sei weder nach § 26 Abs. 1 BDSG noch nach Art. 6 Abs. 1 DSGVO zulässig. Ein Rechtfertigungsrund für die „ansonsten unzulässige Datenverarbeitung“ könne allerdings in der Duldungsbetriebsvereinbarung gemäß § 26 Abs. 4 BDSG gesehen werden. Diese Rechtfertigung sei jedoch gemäß der Betriebsvereinbarung begrenzt und rechtfertige insoweit keine „überschießende Datenverarbeitung“. Damit liege ein Verstoß gegen die DSGVO im Sinne von Art. 82 Abs. 1 DSGVO vor, weil die Arbeitgeberin auch solche Daten (durch die Konzernmutter) verarbeiten ließ, für welche die Betriebsvereinbarung keine Legitimation darstelle.

Allerdings könne der vom Arbeitnehmer geltend gemachte Schaden (Zugriffsmöglichkeiten von Behörden oder Dritten in den USA bzw. eine diesbezügliche Unsicherheit) dem festgestellten Verordnungsverstoß nicht zugeordnet werden. Die Übertragung der nicht von der Betriebsvereinbarung gedeckten Daten sei vor Inkrafttreten der DSGVO erfolgt. Die weitere Verarbeitung der bereits übertragenen Daten durch die Konzernmutter nach Inkrafttreten der DSGVO stelle keinen Datenabfluss dar, sondern sei auf Grundlage einer rechtmäßigen Auftragsdatenverarbeitung erfolgt. Auch wenn die Daten im System Workday überschießend im Rahmen einer Auftragsdatenverarbeitung verarbeitet worden seien, so habe die Arbeitgeberin doch alle Erfordernisse der DSGVO eingehalten, die Sicherheit der Daten bei der Konzernmutter in den USA sicherzustellen. Allein der Umstand, dass zusätzliche Daten des Arbeitnehmers (Jahres- und Monatsgehalt, private Wohnanschrift, Geburtsdatum, Alter, etc.) in Workday zu Testzwecken verwendet worden seien, löse nach Auffassung der Kammer keinen zuzuordnenden Schaden aus.

 Konsequenzen für die Praxis

Das Urteil enthält gleich mehrere gute Nachrichten für Arbeitgeber: Nicht jedes datenschutzwidrige Verhalten des Arbeitgebers löst einen Anspruch auf einen immateriellen Schadensersatz aus. Hier ist ein Nachweis eines tatsächlichen Schadens durch den Arbeitnehmer erforderlich. Darüber hinaus ergeben sich datenschutzrechtliche Gestaltungspielräume durch Abschluss von Betriebsvereinbarungen. Die an manchen Stellen sicherlich zu restriktiv geratene DSGVO kann so durch die Betriebsparteien mit Augenmaß angepasst und ausgestaltet werden. Dies gilt für die Einigungsstelle in gleicher Weise, die bei datenschutzrelevanten Sachverhalten über das Mitbestimmungsrecht bei technischen Überwachungseinrichten nach § 87 Abs. 1 Nr. 6 BetrVG regelmäßig angerufen werden kann.

Dr. Oliver Vollstädt 

Rechtsanwalt
Fachanwalt für Arbeitsrecht
Partner
Oliver Vollstädt berät Arbeitgeber und Top-Füh­rungs­kräfte in allen Fragen des Arbeits­rechts. Sein besonderes Know-how liegt bei kol­lek­tiv­recht­li­chen Themengebieten mit den Schwer­punkten Restruk­tu­rie­rungsberatung, Ver­hand­lung von Sozi­al­plä­nen und haustariflichen Gestal­tun­gen. Ferner ist Oliver Vollstädt anerkannter Experte in arbeits- und daten­schutz­recht­li­chen Fragen zum Einsatz von IT-Systemen und neuen Medien am Arbeits­platz. Er ist Mitglied der Fokusgruppe "Datenschutz".
Verwandte Beiträge
Datenschutz Individualarbeitsrecht Neueste Beiträge

„Auskunft, sonst Schadensersatz!“ – Handlungsoptionen für Arbeitgeber bei Auskunftsansprüchen

Datenschutzrechtliche Auskunftsansprüche gegen den Arbeitgeber gehören für Arbeitnehmer(-vertreter) vor allem in Kündigungsstreitigkeiten zum Regelrepertoire. Mittlerweile wird auch vermehrt über arbeitnehmerseitige Schadensersatzansprüche aufgrund nicht oder nicht vollständig erteilter Auskünfte gestritten. Die Rechtsprechung befindet sich noch im Fluss, sodass sich für viele Arbeitgeber Unklarheiten darüber ergeben, wie mit fragwürdigen Auskunftsbegehren umzugehen ist. Dieser Beitrag soll einen Überblick liefern und Handlungsoptionen aufzeigen. Der datenschutzrechtliche Auskunftsanspruch ist mittlerweile ein…
Individualarbeitsrecht Neueste Beiträge

Schadenersatz nach dem AGG bei Stellenanzeigen – Wann eine Benachteiligung wegen des Alters zulässig sein kann

Bei der Formulierung von Stellenausschreibungen ist bekanntlich Vorsicht geboten. Bewerberinnen und Bewerber dürfen aus Gründen des Geschlechts, der Rasse, der ethnischen Herkunft, der Religion oder Weltanschauung, einer Behinderung, des Alters oder der sexuellen Identität bei geplanten Einstellungen im Unternehmen keine weniger günstige Behandlung erfahren als andere Personen (sog. Benachteiligungsverbot). Sind Stellenausschreibungen so verfasst, dass bestimmte Gruppen von Bewerbern von einem Arbeitsplatz ausgeschlossen werden, wird eine…
Aufsichtsratberatung Neueste Beiträge Top-Management

Haftung des Aufsichtsrats – bis hin zur Selbstbezichtigung

Das gesetzliche Haftungsregime für den Aufsichtsrat könnte – angelehnt an seine Pflicht zur Rechtsaufsicht und Kontrolle der Wirtschaftlichkeit der Geschäftsführung des Vorstands – kaum strenger ausgestaltet sein. Wie weit die Haftung im Einzelfall gehen kann, zeigt dieser Blog-Beitrag. Unser Blog-Beitrag vom 22. Februar 2023 hatte sich bereits mit dem hohen gesetzlichen Haftungsrisiko der Tätigkeit im Aufsichtsrat und den ausdifferenzierten Pflichten bei der Prüfung von Schadensersatzansprüchen…
Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

 

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert