open search
close betriebswahl 2022
Datenschutz Neueste Beiträge

Rechtsprechung zum Datenschutz – nicht immer unerfreulich!

Nicht jeder Verstoß des Arbeitgebers gegen Datenschutzrecht löst einen Schadensersatzanspruch des Arbeitnehmers aus. Voraussetzung sei, dass der geltend gemachte Schaden dem Verstoß auch zugeordnet werden kann. Dies meint das LAG Baden-Württemberg und sieht zudem betriebliche Gestaltungsmöglichkeiten.

Die Datenschutzgrundverordnung (DSGVO) ist eine „Spielwiese“ bei arbeitsrechtlichen Auseinandersetzungen geworden. Die neuen Ansprüche von Arbeitnehmern auf Auskunft, Löschung oder Schadensersatz werden zunehmend – meist taktisch – eingesetzt. Dies missfällt offenkundig den Arbeitsgerichten. So hat das Bundesarbeitsgericht jüngst in einem viel beachteten Urteil einen Auskunftsantrag nach Art. 15 DSGVO kurz und bündig mangels hinreichender Bestimmtheit abgewiesen (BAG v. 27.4.2021, Az. 2 AZR 342/20). Weniger Beachtung fand demgegenüber ein fast zeitgleich ergangenes Urteil des LAG Baden-Württemberg (vgl. Urteil v. 25.02.2021 – 17 Sa 37/20).

Zu Unrecht! Denn das LAG stellte nicht nur fest, dass ein Verstoß gegen datenschutzrechtliche Vorschriften und ein hierbei vom Arbeitnehmer empfundener Nachteil keinen Schadensersatzanspruch auslösen. Daneben betont das LAG in bemerkenswerter Weise, dass eine Betriebsvereinbarung eine Datenverarbeitung auch dann rechtfertigen kann, wenn diese Verarbeitung auf Grundlage der gesetzlichen Erlaubnistatbestände nicht zulässig wäre.

Was ist passiert?

Die beklagte Arbeitgeberin gehörte zu einem Konzern mit Hauptsitz in den USA. Im Jahr 2017 wurde das cloudbasierte Personalmanagementsystem „Workday“ – zunächst zu Testzwecken – eingeführt. Noch vor Inkrafttreten der DSGVO im Jahr 2018 übertrug die Arbeitgeberin personenbezogene Daten des klagenden Arbeitnehmers auf eine konzerninterne Sharepoint-Seite in die USA, um diese Daten testweise in das System Workday zu überführen. Über die Einführung von Workday hatte die Arbeitgeberin zuvor mit dem Betriebsrat eine „Duldungsbetriebsvereinbarung“ abgeschlossen, welche die vorläufige Inbetriebnahme im Testmodus und einen begrenzten Datentransfer gestattete. Die Arbeitgeberin beschränkte sich aber nicht auf die Datenübermittlung, die kraft der Betriebsvereinbarung erlaubt worden war. Sie übertrug vielmehr noch weitere personenbezogene Daten des Arbeitnehmers in die USA (z. B. Monats- und Jahresgehalt, private Wohnanschrift, Vergütung, Alter, Familienstand, Sozialversicherungsnummer, Steuer-ID).

Das Inkrafttreten der DSGVO im Jahr 2018 ließ die Arbeitgeberin vorsichtiger werden. Die Übermittlung und Verarbeitung der Daten durch die Konzernmutter auf dem Sharepoint wurde durch eine Vereinbarung zur Auftragsdatenverarbeitung samt Standardvertragsklauseln abgesichert. Der Arbeitnehmer sah darin gleichwohl einen Verstoß gegen Datenschutzrecht, machte eine Persönlichkeitsrechtsverletzung geltend und verlangte (immateriellen) Schadensersatz. Als Begründung machte er geltend, dass er jederzeit mit einem unkontrollierten Zugriff auf seine personenbezogenen Daten in den USA (etwa durch US-Behörden) hätte rechnen müssen.

Die Entscheidung des LAG

 Das LAG lehnt einen Schadensersatzanspruch des Arbeitnehmers nach Art. 82 Abs. 1 DSGVO ab. Zunächst stellt es jedoch fest, dass die Datenverarbeitung während der Testphase von Workday gesetzlich nicht gerechtfertigt sei. Die Verarbeitung von personenbezogen Daten zu Testzwecken sei weder nach § 26 Abs. 1 BDSG noch nach Art. 6 Abs. 1 DSGVO zulässig. Ein Rechtfertigungsrund für die „ansonsten unzulässige Datenverarbeitung“ könne allerdings in der Duldungsbetriebsvereinbarung gemäß § 26 Abs. 4 BDSG gesehen werden. Diese Rechtfertigung sei jedoch gemäß der Betriebsvereinbarung begrenzt und rechtfertige insoweit keine „überschießende Datenverarbeitung“. Damit liege ein Verstoß gegen die DSGVO im Sinne von Art. 82 Abs. 1 DSGVO vor, weil die Arbeitgeberin auch solche Daten (durch die Konzernmutter) verarbeiten ließ, für welche die Betriebsvereinbarung keine Legitimation darstelle.

Allerdings könne der vom Arbeitnehmer geltend gemachte Schaden (Zugriffsmöglichkeiten von Behörden oder Dritten in den USA bzw. eine diesbezügliche Unsicherheit) dem festgestellten Verordnungsverstoß nicht zugeordnet werden. Die Übertragung der nicht von der Betriebsvereinbarung gedeckten Daten sei vor Inkrafttreten der DSGVO erfolgt. Die weitere Verarbeitung der bereits übertragenen Daten durch die Konzernmutter nach Inkrafttreten der DSGVO stelle keinen Datenabfluss dar, sondern sei auf Grundlage einer rechtmäßigen Auftragsdatenverarbeitung erfolgt. Auch wenn die Daten im System Workday überschießend im Rahmen einer Auftragsdatenverarbeitung verarbeitet worden seien, so habe die Arbeitgeberin doch alle Erfordernisse der DSGVO eingehalten, die Sicherheit der Daten bei der Konzernmutter in den USA sicherzustellen. Allein der Umstand, dass zusätzliche Daten des Arbeitnehmers (Jahres- und Monatsgehalt, private Wohnanschrift, Geburtsdatum, Alter, etc.) in Workday zu Testzwecken verwendet worden seien, löse nach Auffassung der Kammer keinen zuzuordnenden Schaden aus.

 Konsequenzen für die Praxis

Das Urteil enthält gleich mehrere gute Nachrichten für Arbeitgeber: Nicht jedes datenschutzwidrige Verhalten des Arbeitgebers löst einen Anspruch auf einen immateriellen Schadensersatz aus. Hier ist ein Nachweis eines tatsächlichen Schadens durch den Arbeitnehmer erforderlich. Darüber hinaus ergeben sich datenschutzrechtliche Gestaltungspielräume durch Abschluss von Betriebsvereinbarungen. Die an manchen Stellen sicherlich zu restriktiv geratene DSGVO kann so durch die Betriebsparteien mit Augenmaß angepasst und ausgestaltet werden. Dies gilt für die Einigungsstelle in gleicher Weise, die bei datenschutzrelevanten Sachverhalten über das Mitbestimmungsrecht bei technischen Überwachungseinrichten nach § 87 Abs. 1 Nr. 6 BetrVG regelmäßig angerufen werden kann.

22 beiträge

Dr. Oliver Vollstädt 




Oliver Vollstädt berät Arbeitgeber und Top-Füh­rungs­kräfte in allen Fragen des Arbeits­rechts. Sein besonderes Know-how liegt bei kol­lek­tiv­recht­li­chen Themengebieten mit den Schwer­punkten Restruk­tu­rie­rungsberatung, Ver­hand­lung von Sozi­al­plä­nen und haustariflichen Gestal­tun­gen. Ferner ist Oliver Vollstädt anerkannter Experte in arbeits- und daten­schutz­recht­li­chen Fragen zum Einsatz von IT-Systemen und neuen Medien am Arbeits­platz.
Verwandte Beiträge
Arbeitsrecht in der Pandemie Neueste Beiträge

Impfen im Mittelpunkt durch die neue Corona-Arbeitsschutzverordnung

Arbeitgeber müssen Arbeitnehmer zum Impfen freistellen, aber dürfen nicht ohne Weiteres nach dem Impfstatus fragen. Dieser Beitrag zeigt Möglichkeiten auf, wie ein Arbeitgeber arbeits- und datenschutzkonform die Impfquote erfahren und diese für einen besseren Infektionsschutz im Betrieb nutzen kann.   Die am Mittwoch, den 1.9.2021, vom Bundeskabinett beschlossene Änderung der SARS-CoV-2-Arbeitsschutzverordnung rückt das Impfen weiter in den Fokus der Bekämpfung der Corona-Pandemie. Außerdem bleiben die…
Datenschutz Neueste Beiträge

Datenschutzverstoß – was ist jetzt zu tun?

Längst sind in zahlreichen Unternehmen Datenschutzbeauftragte tätig und erleichtern vielen Unternehmen das (datenschutzkonforme) Leben. Aber wie gestalten sich interne Ermittlungen, wenn es dann doch einmal zu einem Verstoß gegen Datenschutzvorschriften kommt? Ein Überblick zur möglichst zügigen und effizienten Aufklärung von Datenschutzverstößen. Unabhängig von der Informationsquelle, eines steht fest: Bekommt man als Arbeitgeber Wind von einem Datenschutzverstoß im eigenen Unternehmen, besteht unbedingt Handlungsbedarf. Derzeit nehmen Schadensersatzklagen…
Neueste Beiträge

Herausgabe einer Kopie personenbezogener Daten … Was jetzt genau?

Ein Antrag auf Zurverfügungstellung einer Kopie personenbezogener Daten ist im arbeitsgerichtlichen Verfahren nur berücksichtigungsfähig, wenn dieser hinreichend bestimmt ist. Dies hat das Bundesarbeitsgericht in einer aktuellen Entscheidung herausgestellt. Der Umfang des datenschutzrechtlichen Auskunftsrechts nach Art. 15 DSGVO gerät zunehmend in den Blickpunkt der Arbeitsgerichte. Dies ist nicht verwunderlich. So nutzen etliche Arbeitnehmer den Anspruch – insbesondere auf Zurverfügungstellung einer Kopie der von ihnen verarbeiteten personenbezogenen…
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.