Das LAG Baden-Württemberg lehnt (LAG Baden-Württemberg, Urteil v. 25. Februar 2021 – 17 Sa 37/20) einen Schadensersatzanspruch eines Mitarbeiters ab – obwohl es einen DSGVO-Verstoß des Arbeitgebers bejaht. Das Urteil enthält zahlreiche bemerkenswert detaillierte und kenntnisreiche Prüfungen von DSGVO-Bestimmungen.
Die Lektüre lohnt sich für Arbeitgeber, weil sie zeigt, wie ein (weitestgehend) sauberer und im Konzern gut dokumentierter Umgang mit personenbezogenen Daten bei der Abwehr von Schadensersatzansprüchen hilft.
Rechtlichter Hintergrund: Immaterieller Schaden als Ausnahme?
Das deutsche Schadensrecht gleicht immaterielle Schäden des Geschädigten nur ausnahmsweise mit Geldzahlungen des Schädigers aus. Voraussetzung ist zum einen, dass der Betroffene den eingetretenen immateriellen Schaden zumindest darlegt. Zum anderen muss ein Gesetz den Ausgleich für derartige, immaterielle Schäden ausdrücklich vorsehen (s. § 253 Abs. 2 BGB).
Seit dem 25. Mai 2018 erweitert Art. 82 Abs. 1 DSGVO den gesetzlichen Anspruchskatalog. Bei Verstößen des Verarbeiters gegen die DSGVO kann der Betroffene immaterielle Schäden einklagen, die ihm durch den Verstoß entstanden sind. Der Betroffene soll dabei „vollständigen und wirksamen Schadenersatz″ erhalten (Erwägungsgrund 146 DSGVO). Von der Haftung kann sich der Schädiger nur befreien, wenn er „in keinerlei Hinsicht für den Umstand″ verantwortlich ist, durch den der Schaden eingetreten ist.
Zunehmend erweitern Mitarbeiter* Auseinandersetzungen vor Arbeitsgerichten um datenschutzrechtliche Aspekte.
Hochladen privater Mitarbeiterdaten in Testsystem als Verstoß gegen die DSGVO
Das LAG Baden-Württemberg hatte jüngst über einen Schadensersatzanspruch eines Mitarbeiters zu entscheiden. Dieser hatte immateriellen Schadensersatz gefordert, da sein Arbeitgeber diverse personenbezogene Daten rechtswidrig in ein neues HR-System im Testbetrieb geladen habe. Der Mitarbeiter hielt EUR 3.000,00 für einen angemessenen Ausgleich. Das LAG verneinte den Anspruch ebenso wie das Ausgangsgericht.
Der Arbeitgeber führte ein neues konzernweites Personalmanagementsystem ein. In einer Betriebsvereinbarung bestimmte er, welche Mitarbeiterdaten er in dieses zu Testzwecken vorläufig einpflegen durfte. Der Arbeitgeber überschritt die Vereinbarung und übermittelte weitere Daten wie Geburtsdatum, Sozialversicherungsnummer und Steuer-ID an die US-Muttergesellschaft zur Verwendung im Testsystem.
Das LAG bejahte insoweit einen Verstoß gegen die DSGVO, lehnte in einem zweiten Schritt einen Schadenersatzanspruch des Mitarbeiters aber ab: Die Betriebsvereinbarung komme nicht als Rechtfertigung in Betracht, soweit der Arbeitgeber von der Betriebsvereinbarung nicht erfasste Daten hochlade. Eine Rechtfertigung nach § 26 Abs. 1 Satz 1 BDSG und Art. 6 Abs. 1 f) DSGVO für die Verarbeitung dieser Daten für Testzwecke lehnte das LAG ebenfalls ab.
LAG Baden-Württemberg verneint einen Schadenseintritt
Das LAG setzt sich ausführlich mit den Anforderungen, den Zwecken und den bisherigen Urteilen zum immateriellen Schadensersatz auseinander. Es erkennt, dass die Frage einer „Erheblichkeitsschwelle″ beim Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO umstritten ist. Zudem erkennt es, dass die Frage des Schadens europarechtlich zu bestimmen ist, statt nach den Maßstäben der deutschen Schadensdogmatik.
Das Urteil berücksichtigt die Entscheidung des BVerfG, das die Nichtvorlage des AG Goslar an den EuGH bei der Prüfung eines Schadensersatzanspruches nach Art. 82 DSGVO gerügt hatte.
Ohne allen Ausführungen zuzustimmen, sind die Ausführungen des LAG es Wert, dass wir sie im Wortlaut wiedergeben (s. Rn. 82 des Urteils; Hervorhebungen durch uns, Verweise auf Lit. und Rspr. haben wir mit Blick auf die Lesbarkeit entfernt):
Der Erwägungsgrund 146 Satz 3 führt aus, dass der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden soll, die den Zielen der Verordnung in vollem Umfang entspricht. Der Anspruch soll nach Satz 6 des Erwägungsgrundes 146 sicherstellen, dass die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Das schließt ein, dass Schadensersatzforderungen abschrecken und weitere Verstöße unattraktiv machen sollen. Der Begriff des Schadens in Art. 82 DSGVO ist autonom auszulegen, dh. es kommt nicht darauf an, ob ein bestimmter Schaden nach nationalem Recht als Schaden angesehen werden könnte. Allerdings muss der Schaden „erlitten„(Erwägungsgrund 146) worden, also tatsächlich entstanden sein und darf nicht lediglich befürchtet werden. Der bloße Verstoß gegen eine Bestimmung der DSGVO reicht daher nicht aus. Mit Geltung des Art. 82 DSGVO ist esaber nicht mehr vertretbar, einen immateriellen Schadensersatz nur bei einer schwerwiegenden Persönlichkeitsrechtsverletzung anzunehmen. So findet sich auch in den Erwägungsgründen kein Hinweis darauf, dass geringfügige Schäden (Bagatellschäden) nicht auszugleichen wären. Vielmehr sieht Erwägungsgrund 148 Satz 2 vor, dass (ausnahmsweise) bei geringfügigen Verstößen auf die Verhängung einer Geldbuße verzichtet werden kann. Deshalb kann ein Schaden auch bereits in einem unguten Gefühl liegen, dass personenbezogene Daten Unbefugten bekannt geworden sind, wenn nicht ausgeschlossen werden kann, dass die Daten unbefugt weiterverwendet werden. Der Erwägungsgrund 75 führt als mögliche Schäden etwa Diskriminierungen, ein Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteile, aber auch den Verlust, die personenbezogenen Daten kontrollieren zu können, auf. Der Kontrollverlust kann in diesem Zusammenhang nur einen immateriellen Schaden meinen. Bei der Bestimmung des immateriellen Schadens kann ua. auch der Wert der Daten und ihre Nutzung und ihre Nutzung aus Sicht des Verantwortlichen abgestellt werden, insb. in Fällen, in denen die personenbezogenen Daten des Betroffenen kommerzialisiert werden und sich der Verantwortliche bewusst über die Interessen des Betroffenen hinwegsetzt, um eigene Erwerbsinteressen durchzusetzen.″
Insgesamt tendiert das LAG also zu einem weiten – aus unserer Sicht zu weitem – Verständnis des „Schadens″.
Entscheidend ist hier aber: Das LAG verneint mit überzeugenden Gründen einen „erlittenen″ Schaden. Das LAG kommt zu diesem Ergebnis, indem es differenziert zwischen dem vom Kläger vorgetragenen Schaden (bei dem es keinen DSGVO-Verstoß sieht) und dem konkret festgestellten Verstoß gegen die DSGVO, der keinen Schaden begründe (s. dazu 3.).
Zur Kausalität führt das LAG unter Verweis auf Grundsätze des EU-Rechts aus: Zwischen Rechtsverstoß und Schaden sei
ein hinreichend unmittelbarer Zusammenhang zu fordern.
Die Kausalität sei nicht uferlos. Der Schaden müsse vorhersehbar gewesen sein (Rn. 83).
Fehlender Datenmissbrauch, kein Kontrollverlust und angemessene Standardvertragsklauseln: LAG lehnt immateriellen Schadensersatzanspruch ab
Zur Begründung des immateriellen Schadensersatzanspruches machte der Mitarbeiter geltend: Seine Daten seien bei der US-Muttergesellschaft nicht adäquat gesichert gewesen. Als erlittene immaterielle Schäden machte der Mitarbeiter die „Missbrauchsgefahr″ der Daten durch die US-Konzernmutter oder US-Ermittlungsbehörden, einen „Bloßstellungseffekt″ und einen dauerhaften „Stand der Unsicherheit″ geltend, da ihm unklar gewesen sei, wer zu welchem Zweck in den USA seine Daten verarbeite.
- Die Daten seien bei der US-Muttergesellschaft adäquat gesichert gewesen, da hierzu eine Auftragsverarbeitung nach Art. 28 DSGVO vorgelegen habe. Daher bestünden ausreichende Maßnahmen gegen Missbrauch, läge kein „Datenabfluss″ und auch kein Kontrollverlust vor. Das belege schon die Löschung der Daten im Testsystem nach Aufforderung des Klägers (Rn. 89).
- Auch der Transfer in die USA als Drittland sei nicht zu beanstanden, da diese den EU-Standardvertragsklauseln unterliegen und diese auch nach dem Schrems II Urteil des EuGH weiter gültig seien (s. Rn. 72). Es fehle insoweit schon an einem kausalen Schaden, da kein Verstoß gegen Kapitel V der DSGVO vorliege (Rn. 88).
Damit verbleibt es nach dem LAG dabei, dass die Verarbeitung überschießender Daten im Testbetrieb rechtswidrig war. Das begründet laut LAG aber keinen Schaden, denn die überschießenden Daten verarbeitete der Arbeitgeber ansonsten rechtmäßig in seinem etablierten Produktivsystem (SAP). In den Worten das LAG (Rn. 89):
Einen „erlittenen″ Schaden, der allein auf der überschießenden Datenverarbeitung in Workday oder für (Test-)Zwecke von Workday – bei gleichzeitig rechtmäßiger Datenverarbeitung in SAP zu anderen Zwecken – fußt, macht der Kläger nicht geltend und ein solcher „Schaden″ ist auch nicht ersichtlich (die Duldungs-BV schließt insb. eine Nutzung/Verwertung der zu Testzwecken verarbeiteten Daten für Zwecke der Durchführung des Arbeitsverhältnisses gerade aus), vielmehr liegt insoweit nur ein Verordnungsverstoß ohne zuordenbaren Schaden vor.
LAG sieht Beweislast für rechtskonforme Datenverarbeitung beim Arbeitgeber
Gerade in vorbelasteten Arbeitsverhältnissen wissen Mitarbeiter inzwischen um die Macht des Datenschutzes bei einer Auseinandersetzung oder finanziellen Verhandlungen mit dem Arbeitgeber.
Das Urteil zeigt, dass sich die Anstrengungen von Arbeitgebern lohnen, Verarbeitungen von Mitarbeiterdaten und insb. konzerninterne Datentransfers auf gut begründete und dokumentierte Rechtsgrundlagen zu stellen. Solche Vereinbarungen und ihre Umsetzung können Arbeitgeber pauschalen Schadensersatzansprüchen von Mitarbeitern erfolgreich entgegenhalten.
Wenig „erbaulich″ sind die Ausführungen des LAG zur Beweislast. Im Gegensatz zu vielen anderen Urteilen bejaht das LAG – aus unserer Sicht unzutreffend – eine Umkehr der Beweislast bei der Frage, ob die Verarbeitung rechtmäßig erfolgt sei. Es nimmt dabei irrig an, Art. 5 (2) und Art. 24 (1) DSGVO gälten auch im Zivilprozessrecht und bürdeten dem Arbeitgeber den Nachweis rechtskonformen Handelns auf. Hat der Arbeitnehmer also nachgewiesen, dass der Arbeitgeber an einer Verarbeitung beteiligt war, ist nach Auffassung des LAG der Arbeitgeber den Nachweis schuldig, rechtskonform verarbeitet zu haben.
Kontrollen durch die Datenschutzbehörden bleiben aktuell
Neben den Mitarbeitern als betroffenen Personen kontrollieren die Landesdatenschutzbehörden, ob Arbeitgeber ihren Pflichten aus Art. 5 DSGVO nachkommen.
- Gegenüber Aufsichtsbehörden sind Arbeitgeber rechenschaftspflichtig darüber, die DSGVO einzuhalten (vgl. Art. 5 Abs. 2 DSGVO, sog. „Accountability″). Nach Art. 24 Abs. 1 DSGVO muss der Arbeitgeber als Verantwortlicher nachweisen, Maßnahmen getroffen zu haben, die eine DSGVO-konforme Verarbeitung von Mitarbeiterdaten sicherstellen.
- Auch richten Aufsichtsbehörden ihren Fokus auf die Frage, ob Arbeitgeber ihren Pflichten aus der DSGVO nachkommen. So verhängte die Hamburgische Datenschutzbehörde im Oktober 2020 ein Rekordbußgeld von EUR 35,3 Mio. für das gezielte, rechtswidrige Ausspähen von Mitarbeitern durch ihre Vorgesetzten (mehr zu diesem Fall und zu weiteren Bußgeldern im Bereich des Arbeitnehmerdatenschutzes unter https://www.enforcementtracker.com/).
Entscheidung des LAG Baden-Württemberg zeigt Bedeutung für dokumentierte rechtskonforme Datenverarbeitung
Auf Art. 82 DSGVO gestützte Schadensersatzansprüche werden auch in arbeitsgerichtlichen Verfahren immer wichtiger. Das LAG Baden-Württemberg prüft in seinem Urteil akribisch eine Vielzahl von Themen und kommt zu einem überzeugenden Ergebnis (auch wenn die Ausführungen zur Beweislastverteilung für die Rechtmäßigkeit der Verarbeitung und zur Frage, ab wann ein immaterieller Schaden vorliegt, aus unserer Sicht nicht überzeugen).
Das Urteil zeigt, dass Arbeitgeber gut daran tun, in eine nachweisbar datenschutzkonforme Verarbeitung von Mitarbeiterdaten zu investieren.
*Gemeint sind Beschäftigte jeder Geschlechtsidentität. Lediglich der leichteren Lesbarkeit halber wird künftig bei allen Bezeichnungen nur noch die grammatikalisch männliche Form verwendet.
