LAG Baden-Württemberg Urteil vom 25.02.2021 - 17 Sa 37/20

Entscheidungsstichwort (Thema)

Anwendbarkeit der DSGVO auch für vor dem 24.05.2018 erhobene und danach genutzte personenbezogene Daten. Rechtsgrundlage für Personalinformationsmanagementsystem. Kein Verstoß durch Übersendung von Daten an die USA. Kein immaterieller Schadensersatz ohne Verstoß gegen DSGVO. Permanente Missbrauchsgefahr der Datennutzung als Grundlage für immateriellen Schadensersatz

Leitsatz (amtlich)

1. Werden personenbezogene Daten von Beschäftigten über den 24. Mai 2018 hinaus verarbeitet (gespeichert), ist dies ab dem 25. Mai 2018 am Maßstab der DSGVO zu messen.

2. Erfolgt die Verarbeitung/Speicherung der personenbezogenen Daten von Beschäftigten, zum Zwecke, ein (noch) nicht produktiv genutztes, später noch konzernweit einzuführendes cloudbasiertes Personalinformationsmanagementsystem zu testen, scheidet § 26 Abs. 1 BDSG wie auch Art. 6 Abs. 1 Buchst. f DSGVO als Rechtsgrundlage der Verarbeitung mangels Erforderlichkeit aus. Als Rechtsgrundlage einer Datenverarbeitung kommt in diesem Fall als Kollektivvereinbarung iSv. § 26 Abs. 4 BDSG eine Betriebsvereinbarung in Betracht.

3. Bestimmt die Betriebsvereinbarung für die vorübergehende Nutzung des Personalinformationsmanagementsystems die Kategorien der vorübergehend nutzbaren Daten, ist die Verarbeitung anderer personenbezogener Daten rechtswidrig.

4. Wurden die personenbezogenen Daten von Beschäftigten vor dem 25. Mai 2018 an die Konzernmutter in ein Drittland (USA) übermittelt, liegt kein Verstoß des die Daten übermittelnden Arbeitgebers als Verantwortlicher gegen die Bestimmungen des V. Kapitels der DSGVO (Art. 44 ff. DSGVO) vor.

5. Hat der Arbeitgeber als Verantwortlicher mit der Konzernmutter als Auftragsverarbeiter vor dem 25. Mai 2018 Standardvertragsklauseln auf der Grundlage des Anhangs des Beschlusses der Kommission vom 5. Februar 2010 (2010/87/EU) vereinbart und diese Standardvertragsklauseln durch Anhänge und weitere Vertragswerke um die Inhalte des Art. 28 Abs. 3 DSGVO ergänzt, liegt seitens des verantwortlichen Arbeitgebers kein Verstoß gegen Art. 28 DSGVO vor.

6. Verlangt ein Beschäftigter wegen der überschießenden Datenverarbeitung durch die Konzernmutter in den USA vom verantwortlichen Arbeitgeber nach Art. 82 Abs. 1, 2 DSGVO immateriellen Schadensersatz und macht er als immateriellen Schaden die Gefahr eines Missbrauchs der Daten durch Ermittlungsbehörden in den USA oder andere Konzerngesellschaften bzw. einen Kontrollverlust geltend, kommen diese Umstände grundsätzlich zur Begründung eines immateriellen Schadens iSv. Art. 82 DSGVO in Betracht. Für eine Haftung des Arbeitgebers ist jedoch zusätzlich erforderlich, dass der Schaden "wegen eines Verstoßes" gegen die DSGVO entstanden ist, dh. einem Verordnungsverstoß zugeordnet werden kann (Kausalität). Daran fehlt es, wenn der Arbeitgeber weder gegen die Bestimmungen des V. Kapitels der DSGVO noch gegen Art. 28 DSGVO verstoßen hat. Der verbleibende Verstoß gegen § 26 Abs. 4 BDSG iVm. den Bestimmungen der Betriebsvereinbarung löst allein keinen Schadensersatzanspruch nach Art. 82 DSGVO aus.

Normenkette

DSGVO Art. 4, 6, 28, 44-46, 82, 88, 99; BDSG § 26; ZPO § 97 Abs. 1

Verfahrensgang

ArbG Ulm (Entscheidung vom 14.11.2019; Aktenzeichen 5 Ca 18/18)

Nachgehend

BAG (EuGH-Vorlage vom 22.09.2022; Aktenzeichen 8 AZR 209/21 (A))

Tenor

1. Die Berufung des Klägers gegen das Urteil des Arbeitsgerichts Ulm vom 14. November 2019 - 5 Ca 18/18 - wird zurückgewiesen.
2. Der Kläger hat die Kosten des Berufungsverfahrens zu tragen.
3. Die Revision wird zugelassen.

Tatbestand

Die Parteien streiten zuletzt noch über einen immateriellen Schadensersatzanspruch im Zusammenhang mit der Übermittlung von personenbezogenen Daten des Klägers an die vormalige Konzernmutter der Beklagten in den Vereinigen Staaten von Amerika (USA).

Der am XX. XX XXXX geborene Kläger trat zum 1. September 1984 in ein Arbeitsverhältnis zur K. & V. GmbH, die im Laufe des Rechtsstreits auf die bereits zuvor bestehende Beklagte verschmolzen wurde (künftig lediglich: Beklagte), wurde zuletzt als Organisationsprogrammierer beschäftigt und ist der Vorsitzende des bei der Beklagten gebildeten Betriebsrats.

Die Beklagte, ein Unternehmen der Zahnmedizintechnik, gehörte seit mehr als 10 Jahren zum D.-Konzern, mit Hauptsitz der D. Corp. (Konzernmutter) in W. X.X., zuletzt - für den Rechtsstreit jedoch nicht maßgeblich - ist die Beklagte Tochterunternehmen der E. Corp., ebenfalls mit Sitz in den USA, in welcher der Dentalbereich der D. Corp. verselbständigt wurde.

Die Beklagte verarbeitet personenbezogene Daten ihrer Beschäftigten insb., aber nicht ausschließlich zu Abrechnungszwecken mittels SAP-Software. Hierzu hat der Betriebsrat mit der Beklagten mehrere Betriebsvereinbarungen abgeschlossen. Die Rechtmäßigkeit der darauf gestützten Datenverarbeitung bei der Beklagten ist zwischen den Parteien nicht im Streit. In SAP speichert die Beklagte ua. Gehaltsinformationen, die private Wohnanschrift, das Geburtsdatum, das Alter, den Familienstand, die Sozialver...