Das Landesarbeitsgericht Baden-Württemberg hat sich in einem seiner letzten Urteile mit dem Datenschutz im Beschäftigtenverhältnis auseinandergesetzt. Dabei riss es verschiedene Themen an:
- Nutzung von Beschäftigtendaten im Testsystem
- Betriebsvereinbarung als Rechtsgrundlage der Datenverarbeitung
- Datentransfer vor Gültigkeit der DSGVO in die USA
- Abschluss von Standardvertragsklauseln vor Gültigkeit der DSGVO und deren Weitergeltung nach der Gültigkeit der DSGGVO
- Anspruch auf Schmerzensgeld nach der DSGVO wegen eines Datentransfers in die USA
Des Pudels Kern: Der Datentransfer in die USA…
Im Kern ging es darum, dass innerhalb eines Konzerns die HR-Software „Workday“ eingesetzt werden sollte. Die Konzernmutter hat ihren Sitz in den USA. Vor Gültigkeit der DSGVO übermittelte der Arbeitgeber einer Tochtergesellschaft im Jahre 2017 auf die Sharepoint-Seite des Mutterkonzerns Beschäftigtendaten, um mit diesen Daten Workday zu befüllen. Dazu gehörten Gehaltsinformationen, Privatanschriften, Sozialversicherungsnummern, Steuer-ID und andere Daten von Beschäftigten. Parallel dazu fand die Datenverarbeitung der Personalverwaltung ganz normal in einem SAP System statt.
Für den Einsatz der Software „Workday“ wurde danach im Jahre 2017eine Betriebsvereinbarung geschlossen. Diese regelte den vorläufigen Betrieb von „Workday“ und erlaubte Auswertungen nur zu Testzwecken. Die Verwendung von Daten für „HR Standardprozesse“ war danach unzulässig.
Am 24.05.2018, einen Tag vor Gültigkeit der DSGVO unterzeichneten die Gesellschaft und der Mutterkonzern in den USA für den Datentransfer eine Datenschutzvereinbarung bestehend aus den EU-Standardvertragsklauseln in der Fassung aus dem Jahr 2010.
Ein Beschäftigter sah in der Übermittlung seiner Daten auf die Sharepoint-Seite des US-Mutterkonzerns einen Datenschutzverstoß, der zu einem Schmerzensgeldanspruch in Höhe von 3.000 Euro berechtigen sollte. Er sah einen Schaden in einer Bloßstellung gegenüber anderen Personen, da für einen langen Zeitraum nicht klar gewesen sei, zu welchem Zweck die Daten tatsächlich an den Mutterkonzern übermittelt worden seien. Er war der Ansicht, dass es für für einen Schadensersatz ausreichend sein müsse, wenn die Gefahr einer missbräuchlichen Nutzung dargelegt werde.
Das Landesarbeitsgericht Baden-Württemberg wies einen Anspruch auf Schmerzensgeld zurück, da die Voraussetzungen für einen Schmerzensgeldanspruch aus Art. 82 DSGVO nicht vorlägen. Der Beschäftigte hätte darlegen müssen, dass der verklagte Arbeitgeber gegen die DSGVO verstoßen habe und dieser Verstoß kausal für einen Schaden sei, der ihn als Beschäftigten treffe. Dies sei dem Beschäftigten aber nicht gelungen.
Datenschutzverstoß ja, …
Zunächst aber erkannte das Landesarbeitsgericht durchaus einen Datenschutzverstoß durch den Arbeitgeber an.
Das Landesarbeitsgericht wies darauf hin, dass eine Betriebsvereinbarung Rechtsgrundlage für eine Datenverarbeitung sein kann, sofern die Bestimmungen des Art. 88 Abs. 2 DSGVO beachtet werden. Aus der Betriebsvereinbarung ergab sich, dass Daten für „HR-Standardprozesse“ nicht verarbeitet werden durften. Gerade dies geschah aber als der Arbeitgeber Gehaltsdaten und andere personenbezogene Daten seiner Beschäftigten auf die Sharepoint-Seite des Mutterkonzerns hochlud. Diese Datenverarbeitung fand auch noch während der Geltung der Betriebsvereinbarung statt.
Deshalb konnte der Arbeitgeber die Datenverarbeitung nicht auf die Betriebsvereinbarung stützen. Weiter prüfte das Landesarbeitsgericht noch § 26 Abs. 1 S. 1 BDSG als gesetzliche Erlaubnisnorm für die Datenverarbeitung. Aber hier kam das Gericht zu dem Schluss, dass die Erforderlichkeit der Datenverarbeitung nicht bestand. Eine Datenverarbeitung von Beschäftigtendaten in einem nicht zur Personalverwaltung produktiv genutzten System („Workday“) könne nicht auf der Grundlage von § 26 Abs. 1 BDSG gerechtfertigt sein, sondern nur auf der Grundlage einer Betriebsvereinbarung, welche aber nicht den von dem Arbeitgeber durchgeführten Umfang der Datenverarbeitung abdeckte.
Ebenfalls komme eine Rechtsgrundlage aus Art. 6 Abs. 1 lit. f DSGVO nicht in Betracht. Diese erlaube zwar die Datenverarbeitung bei einem berechtigten Interesse der verantwortlichen Stelle, wenn sie verhältnismäßig wäre. Doch auch hier fehle die Erforderlichkeit der Datenverarbeitung. Der Datenverarbeitung von „echten“ Beschäftigtendaten zu bloßen Testzwecken fehle die Erforderlichkeit, da mildere Mittel zur Verfügung gestanden hätten um das System zu testen. So wäre in jedem Fall die Verwendung von Daten fiktiver Beschäftigten („Max Mustermann“) eine Möglichkeit gewesen. So habe der Arbeitgeber im Prozess nicht näher darlegen können, warum unbedingt Echtdaten hätten verwendet werden müssen.
Dagegen sah das Arbeitsgericht in der Datenübermittlung an den Mutterkonzern keinen Datenschutzverstoß. So könne sich der Arbeitgeber vor der Entscheidung des EuGH zum Privacy Shield auf Art. 45 DSGVO und den Angemessenheitsbeschluss in Gestalt des Privacy Shields berufen, da die Befugnis zur Ungültig- bzw. Nichtigkeitserklärung nur dem EuGH zustehe und die Datenübertragung vor der Entscheidung des EuGH stattgefunden habe.
Außerdem habe der Arbeitgeber mit der Konzernmutter Standardvertragsklauseln iSd. Anlage des Beschlusses der Kommission vom 5. Februar 2010 (2010/87/EU) abgeschlossen und diese weitergehend durch Anlagen und weitere Verträge ergänzt und habe damit die Anforderungen aus Art. 28 DSGVO erfüllt.
…aber kein Schaden
Das Landesarbeitsgericht führt aber weiter aus, dass der bloße Verstoß gegen eine Bestimmung der DSGVO nicht ausreicht, da der Schaden nach Erwgr. 146 „erlitten“ worden, also tatsächlich entstanden sein müsse und nicht lediglich befürchtet werden. In diesem Zusammenhang hält das Gericht, wie andere Gerichte, es übrigens nicht mehr für vertretbar, Schmerzensgeld nur bei einer schwerwiegenden Persönlichkeitsrechtsverletzung anzunehmen.
Ein Kontrollverlust der Daten durch eine Übermittlung könne Gegenstand eines Schadens sein, der zu einem Schmerzensgeldanspruch führt. Der Beschäftigte mache hier einen Kontrollverlust der Daten durch die Übermittlung an die Konzernmutter geltend. Allerdings läge in der Übermittlung der Daten kein Datenschutzverstoß.
Ein Verstoß läge nur in der „überschießenden“ Datenverarbeitung im System Workday vor deren Einführung vor. Ein hieraus erlittener Schaden, mache der Beschäftigte aber nicht geltend.
Nach dem Landesarbeitsgericht liegt daher nur ein Verordnungsverstoß ohne zuordenbaren Schaden vor.
Fazit
Das Landesarbeitsgericht bestätigt die bisherige Rechtsprechung, dass ein Datenschutzverstoß Ursache für einen Schaden sein muss, damit überhaupt ein Schmerzensgeldanspruch entstehen kann.
Darüber hinaus nimmt das Gericht aber auch Stellung zu datenschutzrechtlichen Themen, die immer wieder in der Praxis relevant sind:
Nutzung von Echtdaten in Testsystemen
Das Gericht hat hier sehr deutlich gemacht, dass Echtdaten in Testsystemen nichts zu suchen haben. Müssen im Einzelfall Echtdaten genutzt werden, so ist anzuraten, dass genau dokumentiert wird, warum Dummydaten nicht genutzt werden können und nur Echtdaten für das Testsystem geeignet sind.
Betriebsvereinbarung als Rechtsgrundlage
Hier hebt das Gericht hervor, dass Betriebsvereinbarungen keine neue Rechtsgrundlage losgelöst von der DSGVO schaffen können. Auch hier ist die DSGVO zu beachten. Betriebsvereinbarungen dürfen den in der DSGVO ausgeformten Datenschutzgrundsätzen der DSGVO nach Art. 5 DSGVO und den Schutz der Persönlichkeitsrechte der Beschäftigten nach § 75 Abs. 2 BetrVG nicht verschlechtern. Letztlich gestalten Betriebsvereinbarungen die Rechtsgrundlagen in Art. 6 DSGVO nur aus, schaffen aber keine neuen.
Gültigkeit von Standardvertragsklauseln
Die offiziellen Standardvertragsklauseln, die die EU-Kommission einmal beschlossen hatte, sind weiterhin gültig und können genutzt werden, bis es neue Entwürfe gibt.
Schmerzensgeld nur bei schwerwiegenden Persönlichkeitsverletzungen
Hier hat sich das Landesarbeitsgericht dahingehend positioniert, dass diese Voraussetzung nicht erforderlich ist. Hier bleibt eine entsprechende Entscheidung des EuGH abzuwarten.