Urteil: Datenschutz im Arbeitsverhältnis – hohe Anforderungen an Schmerzensgeldanspruch

Stefan Hessel

Das Landesarbeitsgericht (LAG) Baden-Württemberg hat in einem Urteil vom 25.02.2021 (Az. 17 Sa 37/20) zu immateriellen Schadensersatzansprüchen bei Verstößen gegen die Datenschutzgrundverordnung (DSGVO) bei Datenübermittlungen in ein Drittland (USA) entschieden. In der Entscheidung, die wir im Folgenden ausführlich vorstellen möchten, hat sich das Gericht außerdem mit einer Reihe weiterer für Unternehmen sehr relevanter datenschutzrechtlicher Aspekte beschäftigt.

Der Sachverhalt

Der Entscheidung lag ein Rechtsstreit zwischen einem Unternehmen und einem Beschäftigten über den Ersatz eines immateriellen Schadens nach Art. 82 Abs. 1 DSGVO zugrunde. Das beklagte Unternehmen gehörte zu einem Konzern mit Sitz in den USA, für den im Jahr 2017 das cloudbasierte Personalinformationsmanagementsystem Workday (im Folgenden: Workday) testweise eingeführt wurde. Eine Personalverwaltung über Workday fand jedoch in der Folge nicht statt. Allerdings übermittelte das beklagte Unternehmen zwischen April 2018 und Mai 2018 personenbezogene Daten des Klägers auf eine konzerninterne Sharepoint-Seite, um sie testweise in Workday einzuspeisen. Für die Nutzung von Workday hatte das Unternehmen mit dem Betriebsrat eine Duldungsbetriebsvereinbarung abgeschlossen, die bis zum 31. Januar 2019 verlängert wurde und den vorläufigen Betrieb gestattete. Diese wurde durch eine Rahmenvereinbarung ersetzt und im Januar 2019 mit einer Vereinbarung über die Einführung und den Betrieb von Workday ergänzt. Über die Vereinbarung hinaus übermittelte die Beklagte auch andere personenbezogene Daten des Klägers in die USA. Der Beschäftigte sah darin einen Verstoß gegen DSGVO und verlangte immateriellen Schadensersatz dafür, dass seine personenbezogenen Daten unzureichend vor einem Zugriff der US-Behörden geschützt seien und nicht ausgeschlossen werden könne, dass seine Daten an diese Behörden übermittelt worden seien.

Die Entscheidung des Gerichts

Das LAG Baden-Württemberg hat die Klage als unbegründet abgewiesen und dem Arbeitnehmer kein Schmerzensgeld nach Art. 82 DSGVO zugesprochen. Der Betroffene trägt nach Ansicht des Gerichts grundsätzlich die Beweislast für die anspruchsbegründenden Umstände. Nach Ansicht des LAG ist dem Betroffenen der erforderliche Nachweis, dass das Unternehmen als Verantwortlicher an der Datenverarbeitung beteiligt war, dass die Datenverarbeitung gegen Vorschriften der Datenschutzgrundverordnung oder anderer relevanter mitgliedstaatlicher Bestimmungen verstoßen hat und dass dieser Verstoß kausal war für einen Schaden, welcher der betroffenen Person entstanden ist, nicht vollständig gelungen.

Das Gericht sieht insoweit zwar einen "Verstoß gegen diese Verordnung" als gegeben an, da davon nicht nur die Bestimmungen der DSGVO, sondern sämtliche Verstöße gegen Rechtsvorschriften, die aufgrund einer Öffnungsklausel erlassen wurden, wie z.B. § 26 BDSG, erfasst seien. Für die (fortgesetzte) Speicherung der Daten des Betroffenen in Sharepoint fehlt es aus Sicht des Gerichts an der erforderlichen Rechtsgrundlage für die Verarbeitung. So führt das LAG aus, dass § 26 Abs. 4 BDSG die Verarbeitung von Beschäftigtendaten auf Grundlage einer Kollektivvereinbarung gestattet. Die Verarbeitung könne im vorliegenden Fall jedoch weder auf § 26 Abs. 4 BDSG i.V.m. der Duldungsbetriebsvereinbarung noch auf § 26 Abs. 1 BDSG oder Art. 6 Abs. 1 DSGVO gestützt werden, da die Vereinbarung sich ausschließlich auf Workday beziehe und keine Regelung zur Nutzung von Sharepoint vorsehen würde. § 26 Abs. 1 BDSG beinhaltet nach Auffassung des Gerichts keine Rechtsgrundlage für die Verarbeitung während der Testphase. Personenbezogene Daten von Beschäftigten dürften, wenn dies erforderlich ist, für die genannten Zwecke verarbeitet werden. Eine nicht zur Personalverwaltung genutzte Plattform sei jedoch nicht erforderlich. Die Verarbeitung sei bis zur Vereinbarung im Januar 2019 mangels berechtigten Interesses auch nicht nach Art. 6 Abs. 1 lit. f DSGVO erlaubt gewesen, da ein Test auch mit fiktiven Daten möglich gewesen sei.

Einen Verstoß gegen die Vorschriften in Kapitel V der DSGVO zur Übermittlung von personenbezogenen Daten in Drittländer, wie z.B. die USA, hat das Gericht hingegen nicht angenommen. Zur Begründung führt das Gericht aus, dass die Übermittlung mit dem Transfer und dem Speichern beim Empfänger als beendet gilt, da diese im vorliegenden Fall jedoch vor dem 25. Mai 2018 erfolgte, hat das LAG eine Anwendung der DSGVO – zutreffenderweise – abgelehnt.

Erstmalig im Termin zur Berufungsverhandlung hatte sich der Beschäftigte zudem auf einen Anspruch auf Ersatz von immateriellen Schäden wegen einer etwaig unzureichenden oder verspäteten Auskunft im Sinne des Art. 12 ff. DSGVO aus dem Jahr 2017 berufen. Diese Klageänderung wurde aufgrund der fehlenden Zustimmung der Beklagten, wegen Missachtung der Form, nach §§ 533, 263 ZPO als unzulässig abgelehnt.

Auswirkungen auf die Praxis

Die Entscheidung ist hinsichtlich der hohen Anforderungen an einen Schmerzensgeldanspruch bei DSGVO-Verstößen aus Unternehmenssicht zu begrüßen. Das LAG stellt nämlich klar, dass die Gefahr des Datenmissbrauchs oder des Kontrollverlusts zwar einen Anspruch auf Schmerzensgeld nach Art. 82 Abs. 1 DSGVO begründen kann, dafür jedoch eine Kausalität zwischen dem erlittenen Schaden und dem Verstoß erforderlich ist. Diesen hat der Anspruchsteller darzulegen und zu beweisen. Hierdurch wird auch eine rechtsmissbräuchliche Nutzung entsprechender Ansprüche, etwa mit dem Versuch, für bloß behauptete Datenverarbeitung oder DSGVO-Verstöße Schadensersatzansprüche geltend zu machen, erheblich erschwert. Es ist allerdings zu berücksichtigen, dass das Urteil des Gerichts noch keine Rechtssicherheit schafft und sich auch nicht mit der Frage beschäftigt, wann überhaupt ein ersatzfähiger immaterieller Schaden vorliegt.

Darüber hinaus lassen sich der Entscheidung folgende relevante Aspekte entnehmen:

  • Bei einer Speicherung über den 24. Mai 2018 hinaus ist diese an den Vorschriften der DSGVO zu messen. Ist jedoch vor diesem Datum eine Übermittlung erfolgt, unterfällt diese nicht DSGVO.
  • Ein Verstoß gegen § 26 Abs. 4 BDSG i.V.m. der Betriebsvereinbarung allein kann keinen Schadensersatzanspruch begründen. Auch ein Rechtsverstoß vor dem zeitlichen Geltungsbereich kann eine spätere rechtmäßige Verarbeitung nicht "infizieren" und dadurch einen Schadensersatzanspruch auslösen.
  • Als Rechtsgrundlage für Softwaretests kann nach der Auffassung des Gerichts, die als zu eng zu kritisieren ist, mangels Erforderlichkeit weder § 26 Abs. 1 BDSG noch Art. 6 Abs. 1 Buchst. f DSGVO herangezogen werden. Die Verarbeitung kann, sofern eine Kollektivvereinbarung vorliegt, jedoch auf § 26 Abs. 4 BDSG gestützt werden.
  • Unternehmen sollten Prozesse schaffen, mit denen sich die fehlerhafte oder verspätete Beantwortung von Auskünften nach Art. 15 DSGVO vermeiden lassen. Zwar erging in Bezug auf diese Fragestellung keine Entscheidung, jedoch deutet das LAG, das eine entsprechende Klageänderung im Rahmen des Berufungsverfahrens als unzulässig ansah, an, dass es einen Schadensersatzanspruch beruhend auf Verstößen gegen die Auskunftspflicht nicht für ausgeschlossen hält.

[April 2021]