Das LAG Baden-Württemberg urteilte bereits im Februar 2021 über die Klage eines Arbeitnehmers gegen seinen Arbeitgeber und erließ damit das erste Urteil zum Thema Schmerzensgeld bei Verstößen gegen die DSGVO in einem Arbeitsverhältnis.
In zweiter Instanz lehnte das Landesarbeitsgericht (LAG) Baden-Württemberg am 25.02.2021 das Schadensersatzbegehren des Mitarbeiters einer Zahnmedizintechnikfirma als unbegründet ab. Zwar läge eine rechtswidrige Drittlandübermittlung dem Grunde nach vor, allerdings wurde diese vor Inkrafttreten der DSGVO vorgenommen. Die rechtswidrige Übermittlung wirke nicht auf die nachfolgende rechtmäßige Verarbeitung fort. Das Gericht stellte zudem klar, dass nicht jeder Verstoß gegen die DSGVO einen Anspruch auf Schadensersatz begründen könne (LAG Baden-Württemberg, Az. 17 Sa 37/20).
Das LAG Baden-Württemberg verneinte den Anspruch auf Schadensersatz gemäß Art. 82 DSGVO. Zwar reiche die abstrakte Gefahr des Datenmissbrauches bei Übermittlung in einen Drittstaat für die Begründung eines Schadens aus, jedoch gebe es keinen Anknüpfungspunkt für einen Schaden, da die DSGVO im Zeitpunkt der Übermittlung noch nicht in Kraft getreten war. Im Übrigen reiche ein Verstoß gegen § 26 Abs. 4 BDSG in Verbindung mit einer Kollektivvereinbarung noch nicht aus, um einen Schadensersatzanspruch zu bejahen.
Worum geht es?
Die Beklagte ist ein Unternehmen der Zahnmedizintechnik mit Sitz in Deutschland. Der Mutterkonzern hat seinen Sitz in den USA. In Deutschland erhob die Beklagte mittels SAP-Software personenbezogene Daten über ihre Beschäftigten wie Name, dienstliche Telefonnummer, Gehaltsinformationen und Steuer-ID. Im Jahr 2017 sollte das Unternehmen auf das cloudbasierte Personalinformationsmanagementsystem „Workday“ testweise umgestellt werden. Für die Nutzung wurde eine Duldungsvereinbarung mit dem Betriebsrat abgeschlossen, die den testweisen Betrieb von „Workday“ erlaubte. Im Zuge dessen leitete die Beklagte erhobene personenbezogene Daten ihrer Beschäftigten auf eine konzerninterne Sharepoint-Seite, um diese in „Workday“ zu übermitteln. Darunter befanden sich auch Daten, die über die Duldungsvereinbarung hinausgingen und in die USA an die Konzernmutter übermittelt wurden.
Der Kläger, Organisationsprogrammierer und Vorsitzender des Betriebsrates, verlangte Schadensersatz gemäß Art. 82 DSGVO. Er habe durch die Weiterleitung seiner Daten und die Verarbeitung in einem Drittstaat einen immateriellen Schaden erlitten, da seine Daten einer permanenten Missbrauchsgefahr ausgesetzt seien. Ermittlungsbehörden in den USA könnten unter leichteren Bedingungen als in der Europäischen Union auf seine Daten zugreifen; er habe keine Kontrolle mehr darüber. Einen Tag vor Inkrafttreten der DSGVO am 24.05.2018 schoss die Tochtergesellschaft mit ihrem Mutterkonzern einen Vertrag zur Gewährleistung des Datenschutzes ab.
Soforthilfe vom Anwalt
Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.
Verstoß gegen DSGVO liegt vor
Das Gericht bejahte einen Verstoß gegen die Vorschriften der DSGVO. Es läge keine Rechtsgrundlage für die Speicherung der Daten in Sharepoint vor. § 26 Abs. 4 BDSG erlaube zwar, personenbezogene Daten der Beschäftigten auf der Basis einer Kollektivvereinbarung zu verarbeiten, allerdings ginge es im vorliegenden Fall im Rahmen der Duldungsvereinbarung nicht um die Speicherung in Sharepoint, sondern um die testweise Einführung von „Workday“. Die Vereinbarung beziehe sich ausdrücklich nicht auf Sharepoint. Dies sei eine Plattform, die nicht der Personalverwaltung diene; eine Verarbeitung der Beschäftigtendaten auf dieser Plattform sei mithin nicht erforderlich im Sinne des Art. 26 Abs. 1 BDSG.
Das Gericht verneint allerdings einen Schadensersatzanspruch. Der Verstoß gegen § 26 Abs. 4 BDSG in Verbindung mit der Duldungsvereinbarung begründe für sich noch keinen Anspruch auf Schadensersatz. Es sei nicht ersichtlich, dass der Kläger über die überschießenden Daten wie die Steuer-ID keine Kontrolle mehr gehabt hätte. Vielmehr hätte er jederzeit die Löschung dieser Daten verlangen können. Es sei auch nicht ersichtlich, dass die Beklagte, die Daten in besonderer Art und Weise genutzt hätte; diese Daten seien vielmehr schon zuvor via SAP erfasst worden.
Schadensersatz wegen Drittlandübermittlung
Der Kläger forderte aufgrund der Übermittlung seiner Daten in die USA Schadensersatz gemäß Art. 82 DSGVO. Grundsätzlich hat jede Person Anspruch auf Schadensersatz gegen den Verantwortlichen der Datenverarbeitung, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist. Das LAG nahm hier an, dass die Datenübermittlung in ein Land ohne ausreichendes Datenschutzniveau grundsätzlich ausreicht, um einen Schaden anzunehmen. Voraussetzung für die Verwirklichung ist, dass der Schaden kausal auf der Verletzung der DSGVO beruht, der Verantwortliche für den Schaden also zumindest mitverantwortlich ist. Das Gericht führt aus, dass die Kausalität ein haftungsbeschränkendes Korrektiv sei, dass Verantwortliche vor einer uferlosen Haftung schützen soll.
Abstrakte Missbrauchsgefahr begründet Schaden
Ein Schaden, so die Richterinnen und Richter am LAG, liege im konkreten Fall vor. Die Vorinstanz, das Arbeitsgericht Ulm, hatte am 14.11.2019 den Schaden noch verneint mit der Begründung, die abstrakte Gefahr, dass Dritte in den USA auf Server des Mutterkonzerns zugreifen könnten und der Kläger bei einer zukünftigen Einreise in die USA mit den Erkenntnissen aus den personenbezogenen Daten konfrontiert werden könnte, reiche nicht aus (ArbG Ulm – 5 Ca 18/18).
Anders äußert sich das LAG: die Datenübermittlung reiche aufgrund des geringen Datenschutzniveaus der USA grundsätzlich aus, um einen Schaden zu begründen. Es bestünde kein verlässlicher Schutz der Daten des Mitarbeiters gegenüber dortigen Behörden. Ein Daten-Abfluss stelle in jedem Fall einen immateriellen Schaden dar. Dem Kläger sei nicht klar, wer in den USA Zugriff auf seine Daten habe, er erfahre einen Kontrollverlust. Insbesondere im Hinblick auf die Rechtsprechung des Europäischen Gerichtshofes, wonach die USA keinen gleichwertigen Datenschutz wie die EU vorweisen können, sei ein immaterieller Schaden vorliegend gegeben (EuGH, 16. Juli 2020, C-311/18).
Anspruch scheitert an Kausalität
Der Anspruch des Klägers gemäß Art. 82 DSGVO scheiterte jedoch an der fehlenden Kausalität. Der Schaden beruhe nicht kausal auf der Datenübermittlung ins Ausland, da zu dem Zeitpunkt der Inbetriebnahme von „Workday“ die Datenschutzverordnung noch nicht in Kraft getreten war. Zu diesem Zeitpunkt, also am 24.05.2021, sei es unerheblich gewesen, welches Datenschutzniveau die USA vorweisen konnte, denn die Beklagte – also das Tochterunternehmen – hätte zu diesem Zeitpunkt noch nicht aufgrund Verstoßes gegen die DSGVO in Anspruch genommen werden können. Die wäre erst am 25.05.2018 möglich gewesen. Gemäß Art. 82 DSGVO besteht ein Anspruch nur dann, wenn der Schaden „wegen eines Verstoßes gegen diese Rechtsverordnung“ entstanden ist; es könne daher nicht davon ausgegangen werden, dass auch frühere Handlungen von Verantwortlichen vor Geltung der DSGVO solche Ansprüche begründen könnten.
Soforthilfe vom Anwalt
Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.
Beklagte sorgte für ausreichendes Schutzniveau
Einen Tag vor Inkrafttreten der DSGVO vereinbarte der Tochterkonzern Standardvertragsklauseln auf Grundlage des Anhanges des Beschlusses der Kommission (2010/87/EU) mit der Konzernmutter. Diese wurden um einige vertragliche Regelungen ergänzt. Das LAG führt aus, dass die Beklagte daher auch nicht gegen Art. 28 DSGVO verstoßen habe. Gemäß Art. 28 DSGVO dürfen Verantwortliche nur mit Auftragsverarbeitern zusammenarbeiten, wenn hinreichend garantiert wird, dass die Verarbeitung personenbezogener Daten im Einklang mit der DSGVO steht. Gemäß Art. 45 Abs. 2 DSGVO können solche Garantien durch Standardvertragsklauseln vereinbart werden, die von der Kommission erlassen wurden.
Das LAG führt zwar an, dass solche Standardvertragsklauseln gegebenenfalls nicht in vollem Umfang den Anforderungen des Art. 28 Abs. 3 DSGVO gerecht werden könnten, die Beklagte aber vorliegend zusätzliche vertragliche Vereinbarungen mit der Konzernmutter getroffen habe, die dem Schutzniveau der DSGVO entsprächen. Darin sieht das Gericht die Gewährleistung dafür, dass die Sicherheit der Verarbeitung personenbezogener Daten bei der Konzernmutter gewährleistet sei. Daher liege auch seit Inkrafttreten der DSGVO keine rechtswidrige Datenverarbeitung vor, die einen Anspruch auf Schadensersatz begründen könnte.
Folgen für die Praxis
Das Gericht stellt hohe Anforderungen an den Schadensersatzanspruch gemäß Art. 82 DSGVO. Das LAG stellt nämlich klar, dass die Gefahr des Datenmissbrauchs oder des Kontrollverlusts zwar einen Anspruch auf Schmerzensgeld nach Art. 82 Abs. 1 DSGVO begründen kann, dafür jedoch eine Kausalität zwischen dem erlittenen Schaden und dem Verstoß erforderlich ist. Diesen hat der Anspruchsteller darzulegen und zu beweisen. Das Urteil schafft auch Rechtssicherheit, indem es klarstellt, dass eine Übermittlung von Daten vor dem 24.05.2018 nicht am Maßstab der DSGVO zu messen ist. Auch führt es an, dass Verstöße gegen Art. 26 Abs. 4 BDSG in Verbindung mit Betriebsvereinbarungen nicht grundsätzlich Schadensersatzansprüche auslösen können. Keine Rechtssicherheit schafft das Gericht im Hinblick auf die Frage, wann überhaupt ein ersatzfähiger immaterieller Schaden vorliegt. Denn damit hat sich das Gericht überhaupt nicht auseinandergesetzt,
WBS berät Sie gerne!
Haben Sie datenschutzrechtliche Fragen, benötigen Sie Prozesse mit denen Sie Datenschutzverstöße vermeiden können oder möchten Sie eine Betriebsvereinbarung erstellen, die den Anforderungen der DSGVO gerecht wird? Wir beraten Sie gerne umfassend zu allen Fragestellungen und stehen Ihnen mit Rat und Tat zur Seite. Kontaktieren Sie uns bei Beratungsbedarf jederzeit unter 0221 / 57 1432 1443 (Beratung bundesweit).