Das Landesarbeitsgericht (LAG) Hamm hat eine Datenweitergabe innerhalb eines Unternehmensverbundes als unzulässig erachtet, da die Rechte einer Beschäftigten nicht hinreichend beachtet wurden (LAG Hamm, Urteil vom 14.12.2021 – 17 Sa 1185/20). Darüber hinaus gestand das LAG der Beschäftigten ein Schmerzensgeld in Höhe von 2.000 Euro zu.
Konkret ging es um folgenden Fall:
Die Arbeitgeberin der Klägerin betreibt ein Krankenhaus und eine Klinik. Mehrheitsgesellschafterin dieses Verbundes ist die Deutsche Rentenversicherung Knappschaft-Bahn-See (DRV KBS). Außerdem ist die DRV KBS Alleingesellschafterin der A Kliniken GmbH (im Urteil mit „AKG“ abgekürzt), die u. a. die Aufgabe des Personalcontrollings im Klinikverbund hat. Allerdings ist die AKG keine personalverwaltende Stelle der Beklagten – diese verfügt selbst über eine Personalabteilung.
Die Beklagte hatte mit der AKG einen Managementvertrag geschlossen, der die Sicherstellung der Geschäftsführung der Gesellschaft zum Gegenstand hatte. Dazu gehörte, dass die AKG einen Zustimmungsvorbehalt bei Abschluss oder Änderungen von Arbeitsverträgen hatte, die u. a. oberhalb eines Brutto-Jahresgehaltes von 80.000 Euro lagen. Damit herausgefunden werden konnte, wie viele Arbeitsverträge im Klinikverbund unter diese Regelung fielen, wurde die AKG beauftragt eine entsprechende Abfrage bei den Kliniken des Verbundes durchzuführen.
Die Personalleitung der Beklagten erhielt von der AKG die Aufforderung folgende Daten der Beschäftigten mitzuteilen: Personalnummer, Name, Vorname, betriebliche Organisationseinheit, Dienstart, Funktion, Einstellungs-/Vertragsänderungsdatum, Befristung, Jahresbruttoentgelt, Zielprämie/Tantieme und sonstige gewährte Leistungen. Außerdem wurde um Kopien der Arbeits- und Änderungsverträge gebeten. Die angeforderten Daten übermittelte die Personalleitung auch, informierte gleichzeitig aber die Klägerin über die Übermittlung.
Die Beschäftigte erhob vor dem Landgericht (LG) Bochum Klage und begehrte Löschung der übermittelten Daten und Schadensersatz. Die Klage hatte Erfolg.
Unterlassen und Schmerzensgeld
Vor dem Arbeitsgericht Herne verlangte sie von ihrer Arbeitgeberin es in Zukunft zu unterlassen, an die AKG Daten zu übermitteln und forderte Schmerzensgeld für die bereits durchgeführte Übermittlung. Dem Begehren wurde vor dem Arbeitsgericht stattgegeben. Die Arbeitgeberin ging gegen das Urteil in Berufung. Das LAG Hamm begründete die Entscheidung zugunsten der Beschäftigten folgendermaßen:
„DSGVO goes BGB“
Das LAG stellte zunächst fest, dass die Grundsätze und Rechtsgrundlagen der DSGVO bzw. des BDSG Schutzgesetze im Sinne des BGB sind, die bei einer Verletzung zivilrechtliche Ansprüche auslösen können. Im konkreten Fall ist dies ein Anspruch auf Unterlassung.
Daher prüfte das Gericht in einem nächsten Schritt, ob eine Datenschutzverletzung besteht und sah sich dazu mögliche Rechtsgrundlagen an.
Arbeitsverhältnis ohne Konzernbezug – Datenweitergabe fraglich
Es begann mit der speziellen Rechtsgrundlage zum Beschäftigtendatenschutz aus § 26 BDSG. Danach wäre eine Datenübermittlung innerhalb eines Konzerns bzw. eines Klinikverbunds rechtmäßig, wenn es für die Durchführung des Arbeitsverhältnisses erforderlich ist. Dies konnte das Gericht aber nicht feststellen. Die AKG sei keine Personalabteilung, da alle Abrechnungs- und Personalverwaltungsvorgänge ohne Mitwirkung der AKG vorgenommen würden. Das Arbeitsverhältnis weise auch keinen anderweitigen Konzernbezug auf.
Pseudonymisierung und Information als Gebot der Stunde
Auch auf Grundlage berechtigter Interessen nach Art. 6 Abs. 1 f DSGVO sah das Gericht keine Möglichkeit einer rechtmäßigen Übermittlung der Daten an die AKG. Zwar nahm das Gericht ein berechtigtes Interesse an, da die Arbeitgeberin zumindest mittelbar ein Interesse an konzernweit einheitlichen Vergütungsstrukturen hat. Dieses berechtigte Interesse werde als unternehmerische Freiheit durch die EU-Grundrechtecharta geschützt. In der Abwägung des berechtigten Interesses der Arbeitgeberin mit den Rechten der Beschäftigten kam das Gericht aber zu dem Schluss, dass auch diese Rechtsgrundlage nicht für eine Datenübermittlung herangezogen werden könne. Das Gericht sah in der Übermittlung ohne Pseudonymisierung der Daten einen unzulässigen Eingriff in die Grundrechte der Beschäftigten. Zum einen sei die Datenminimierung in Gestalt der Pseudonymisierung ein Grundsatz der DSGVO, zum anderen würde eine pseudonymisierte Übermittlung weniger stark in die Grundrechte der Klägerin eingreifen, da durch eine Pseudonymisierung der Empfänger nicht ohne Weiteres Rückschlüsse auf die hinter den Daten stehende Person ziehen könnte. Außerdem hätte die Beklagte den Vergleich der Gehaltsdaten genauso gut mit pseudonymisierten Daten durchführen können.
Zuletzt hätte die Arbeitgeberin die Beschäftigte auch vor der Übermittlung der Daten über diese unterrichten müssen, was nicht geschah.
Schmerzensgeld wegen Kontrollverlust und fehlender Information
Neben der Unterlassung erstritt die Beschäftigte sich auch ein Schmerzensgeld in Höhe von 2.000 Euro. Das Gericht stellte fest, dass die Mitarbeiterin über den Datenschutzverstoß hinaus nicht einen weiteren Schaden darlegen müsse. Der Kontrollverlust über die Daten selbst könne ein Schmerzensgeld begründen. Außerdem hätte die Arbeitgeberin erkennen können, dass nicht alle übermittelten Daten erforderlich gewesen seien, um den Datenvergleich durchführen zu können. Erschwerend komme hinzu, dass sie die Klägerin nicht vorher über die Übermittlung unterrichtet habe, was die Wahrnehmung ihrer Rechte erschwert hätte. Zugunsten der Beklagten berücksichtigte das Gericht die Tatsache, dass es sich um eine einmalige Datenübermittlung handelte. So sah das Gericht 2.000 Euro als zum einen angemessen für den erlittenen Schaden der Beschäftigten an und zum anderen als hoch genug, um eine abschreckende Wirkung gegenüber der Beklagten zu entfalten.
Fazit
Die konzerninterne Datenübermittlung kann häufig über das berechtigte Interesse aus Art. 6 Abs. 1 f DSGVO gerechtfertigt werden. Der Teufel steckt jedoch wie so oft im Detail. So sollte man sich vor der Datenweitergabe kurz darüber Gedanken machen, welche Daten wirklich zwingend benötigt werden und ob eine Pseudonymisierung oder andere Arten der Datensicherheit wie eine Verschlüsselung notwendig sind. In der Regel wird man dies bejahen können. Auch sollte man sich ebenfalls darüber Gedanken machen, wer die Daten zwingend sehen muss, um einen unberechtigten Zugriff im Sinne der DSGVO auszuschließen. Dies kann einem den erheblichen Aufwand von Gerichtsprozessen oder langwierigem Schriftverkehr mit Aufsichtsbehörden ersparen. In jedem Fall ist die betroffene Person vor der Datenweitergabe innerhalb eines Konzerns oder Unternehmensverbunds zu informieren.
Malte Tober
28. April 2022 @ 9:34
Problematisch, da aus meiner Sicht der DSGVO Erwägungsgrund 48 nicht berücksichtigt wurde.