Nicht jeder Verstoß des Arbeitgebers gegen Datenschutzrecht löst einen Schadensersatzanspruch des Arbeitnehmers aus. Voraussetzung sei, dass der geltend gemachte Schaden dem Verstoß auch zugeordnet werden kann. Dies meint das LAG Baden-Württemberg und sieht zudem betriebliche Gestaltungsmöglichkeiten.
Die Datenschutzgrundverordnung (DSGVO) ist eine „Spielwiese“ bei arbeitsrechtlichen Auseinandersetzungen geworden. Die neuen Ansprüche von Arbeitnehmern auf Auskunft, Löschung oder Schadensersatz werden zunehmend – meist taktisch – eingesetzt. Dies missfällt offenkundig den Arbeitsgerichten. So hat das Bundesarbeitsgericht jüngst in einem viel beachteten Urteil einen Auskunftsantrag nach Art. 15 DSGVO kurz und bündig mangels hinreichender Bestimmtheit abgewiesen (BAG v. 27.4.2021, Az. 2 AZR 342/20). Weniger Beachtung fand demgegenüber ein fast zeitgleich ergangenes Urteil des LAG Baden-Württemberg (vgl. Urteil v. 25.02.2021 – 17 Sa 37/20).
Zu Unrecht! Denn das LAG stellte nicht nur fest, dass ein Verstoß gegen datenschutzrechtliche Vorschriften und ein hierbei vom Arbeitnehmer empfundener Nachteil keinen Schadensersatzanspruch auslösen. Daneben betont das LAG in bemerkenswerter Weise, dass eine Betriebsvereinbarung eine Datenverarbeitung auch dann rechtfertigen kann, wenn diese Verarbeitung auf Grundlage der gesetzlichen Erlaubnistatbestände nicht zulässig wäre.
Was ist passiert?
Die beklagte Arbeitgeberin gehörte zu einem Konzern mit Hauptsitz in den USA. Im Jahr 2017 wurde das cloudbasierte Personalmanagementsystem „Workday“ – zunächst zu Testzwecken – eingeführt. Noch vor Inkrafttreten der DSGVO im Jahr 2018 übertrug die Arbeitgeberin personenbezogene Daten des klagenden Arbeitnehmers auf eine konzerninterne Sharepoint-Seite in die USA, um diese Daten testweise in das System Workday zu überführen. Über die Einführung von Workday hatte die Arbeitgeberin zuvor mit dem Betriebsrat eine „Duldungsbetriebsvereinbarung“ abgeschlossen, welche die vorläufige Inbetriebnahme im Testmodus und einen begrenzten Datentransfer gestattete. Die Arbeitgeberin beschränkte sich aber nicht auf die Datenübermittlung, die kraft der Betriebsvereinbarung erlaubt worden war. Sie übertrug vielmehr noch weitere personenbezogene Daten des Arbeitnehmers in die USA (z. B. Monats- und Jahresgehalt, private Wohnanschrift, Vergütung, Alter, Familienstand, Sozialversicherungsnummer, Steuer-ID).
Das Inkrafttreten der DSGVO im Jahr 2018 ließ die Arbeitgeberin vorsichtiger werden. Die Übermittlung und Verarbeitung der Daten durch die Konzernmutter auf dem Sharepoint wurde durch eine Vereinbarung zur Auftragsdatenverarbeitung samt Standardvertragsklauseln abgesichert. Der Arbeitnehmer sah darin gleichwohl einen Verstoß gegen Datenschutzrecht, machte eine Persönlichkeitsrechtsverletzung geltend und verlangte (immateriellen) Schadensersatz. Als Begründung machte er geltend, dass er jederzeit mit einem unkontrollierten Zugriff auf seine personenbezogenen Daten in den USA (etwa durch US-Behörden) hätte rechnen müssen.
Die Entscheidung des LAG
Das LAG lehnt einen Schadensersatzanspruch des Arbeitnehmers nach Art. 82 Abs. 1 DSGVO ab. Zunächst stellt es jedoch fest, dass die Datenverarbeitung während der Testphase von Workday gesetzlich nicht gerechtfertigt sei. Die Verarbeitung von personenbezogen Daten zu Testzwecken sei weder nach § 26 Abs. 1 BDSG noch nach Art. 6 Abs. 1 DSGVO zulässig. Ein Rechtfertigungsrund für die „ansonsten unzulässige Datenverarbeitung“ könne allerdings in der Duldungsbetriebsvereinbarung gemäß § 26 Abs. 4 BDSG gesehen werden. Diese Rechtfertigung sei jedoch gemäß der Betriebsvereinbarung begrenzt und rechtfertige insoweit keine „überschießende Datenverarbeitung“. Damit liege ein Verstoß gegen die DSGVO im Sinne von Art. 82 Abs. 1 DSGVO vor, weil die Arbeitgeberin auch solche Daten (durch die Konzernmutter) verarbeiten ließ, für welche die Betriebsvereinbarung keine Legitimation darstelle.
Allerdings könne der vom Arbeitnehmer geltend gemachte Schaden (Zugriffsmöglichkeiten von Behörden oder Dritten in den USA bzw. eine diesbezügliche Unsicherheit) dem festgestellten Verordnungsverstoß nicht zugeordnet werden. Die Übertragung der nicht von der Betriebsvereinbarung gedeckten Daten sei vor Inkrafttreten der DSGVO erfolgt. Die weitere Verarbeitung der bereits übertragenen Daten durch die Konzernmutter nach Inkrafttreten der DSGVO stelle keinen Datenabfluss dar, sondern sei auf Grundlage einer rechtmäßigen Auftragsdatenverarbeitung erfolgt. Auch wenn die Daten im System Workday überschießend im Rahmen einer Auftragsdatenverarbeitung verarbeitet worden seien, so habe die Arbeitgeberin doch alle Erfordernisse der DSGVO eingehalten, die Sicherheit der Daten bei der Konzernmutter in den USA sicherzustellen. Allein der Umstand, dass zusätzliche Daten des Arbeitnehmers (Jahres- und Monatsgehalt, private Wohnanschrift, Geburtsdatum, Alter, etc.) in Workday zu Testzwecken verwendet worden seien, löse nach Auffassung der Kammer keinen zuzuordnenden Schaden aus.
Konsequenzen für die Praxis
Das Urteil enthält gleich mehrere gute Nachrichten für Arbeitgeber: Nicht jedes datenschutzwidrige Verhalten des Arbeitgebers löst einen Anspruch auf einen immateriellen Schadensersatz aus. Hier ist ein Nachweis eines tatsächlichen Schadens durch den Arbeitnehmer erforderlich. Darüber hinaus ergeben sich datenschutzrechtliche Gestaltungspielräume durch Abschluss von Betriebsvereinbarungen. Die an manchen Stellen sicherlich zu restriktiv geratene DSGVO kann so durch die Betriebsparteien mit Augenmaß angepasst und ausgestaltet werden. Dies gilt für die Einigungsstelle in gleicher Weise, die bei datenschutzrelevanten Sachverhalten über das Mitbestimmungsrecht bei technischen Überwachungseinrichten nach § 87 Abs. 1 Nr. 6 BetrVG regelmäßig angerufen werden kann.