Erstes Urteil zu Schmerzensgeld bei Verstößen gegen die DSGVO im Arbeitsverhältnis

Stand: 13. Mai 2021

Die Datenschutzgrundverordnung (DSGVO) normiert in Art. 82 Abs. 1 DSGVO einen eigenständigen und unmittelbar anwendbaren unionsrechtlichen Anspruch auf Schadensersatz eines durch Verstoß gegen die Verordnung materiellen oder immateriellen entstandenen Schadens. Das Landesarbeitsgericht (LAG) Baden-Württemberg urteilte am 25.02.2021 über die Klage eines Arbeitnehmers gegen seinen Arbeitgeber und erließ somit das erste Urteil (Az. 17 Sa 37/20) zum Thema Schmerzensgeld bei Verstößen gegen die DSGVO in einem Arbeitsverhältnis.

Lesen Sie nachfolgend warum das LAG Baden-Württemberg trotz eines Verstoßes des Arbeitgebers gegen die DSGVO einen Schadensersatzanspruch des Mitarbeiters gegen seinen Arbeitgeber ablehnte.

1. Sachverhalt

Das beklagte Unternehmen mit Sitz in Deutschland gehörte zu einem Konzern mit Sitz in den USA. In dem Konzern wurde im Jahr 2017 ein cloudbasiertes Personalinformationsmanagementsystem (Workday) eingeführt. Die Beklagte übermittelte zwischen April 2017 und Mai 2017 personenbezogene Daten des Klägers auf eine konzerninterne SharePoint-Seite, um diese anschließend, wenn auch nur teilweise, in das Personalinformationsmanagementsystems einzuspeisen. Übermittelt wurden u.a. der Name und Vorname des Klägers, Gehaltsinformationen, die dienstliche Telefonnummer und E-Mail-Adresse sowie dessen private Wohnanschrift, Geburtsdatum, Familienstand, Steuer-ID und Sozialversicherungsnummer. Die Beklagte schloss mit dem Betriebsrat eine Duldungsbetriebsvereinbarung, um die Nutzung des Systems vorläufig zu legitimieren. Diese wurde anschließend durch eine Rahmenvereinbarung ersetzt, welche im Januar 2019 mit einer Vereinbarung über die Einführung und den Betrieb des Systems ergänzt wurde. Die Beklagte übermittelte personenbezogene Daten in die USA. Diese Vorgehensweise war in der Vereinbarung jedoch nicht vorgesehen und stellte nach Ansicht des Klägers einen Datenschutzverstoß dar. Der Kläger machte einen immateriellen Schadensersatz aufgrund der Annahme, seine personenbezogenen Daten seien nicht ausreichend vor einem Zugriff der US-Behörden geschützt, geltend. Des Weiteren könne nicht hinreichend ausgeschlossen werden, dass seine Daten nicht an eine US-Behörde übermittelt wurden.

2. Entscheidungsgründe

Das Arbeitsgericht hat die Klage abgewiesen.

Um einen immateriellen Schaden ersetzt zu bekommen, obliegt dem Kläger die Pflicht nachzuweisen, dass die Beklagte als Verantwortliche an der Datenverarbeitung beteiligt war, die Datenverarbeitung gegen die Vorschriften der DSGVO oder andere relevante mitgliedsstaatliche Bestimmungen verstoßen hat, und dass dieser Verstoß kausal für einen Schaden, der der betroffenen Person entstanden ist, war. Das Gericht sah es als erwiesen an, dass der Kläger als natürliche Person, dessen personenbezogene Daten, gem. Art. 4 Abs. 1 DSGVO, verarbeitet wurden, Anspruchsberechtigter nach Art. 82. Abs. 1 DSGVO sei. Ebenfalls unzweifelhaft sei die Beklagte Verantwortliche nach Art. 4 Nr. 7 DSGVO gewesen.

Die Beklagte führte die Speicherung und Datenverarbeitung der personenbezogenen Daten des Klägers in der Workday-Cloud nach dem Inkrafttreten der DSGVO am 25. Mai 2018 fort und konnte dabei nicht darlegen, dass die fortgesetzte Datenspeicherung (Verarbeitung i.S.v. Art. 4 Nr. 2 DSGVO) verordnungskonform erfolgte. Für die Verarbeitung von personenbezogenen Daten, bedarf es einer Ermächtigungsgrundlage. Das Gericht führte aus, dass es sich beim Datenschutzrecht um ein Verbot mit Erlaubnisvorbehalt handle.

Das Gericht überprüfte, ob § 26 Abs. 1 Bundesdatenschutzgesetz (BDSG) als Ermächtigungsgrundlage für die Verarbeitung personenbezogener Daten infrage kommt, nach welchem Arbeitgeber personenbezogene Daten von Beschäftigten im Rahmen des Beschäftigungsverhältnisses verarbeiten dürfen, soweit diese Verarbeitung erforderlich zur Durchführung des Arbeitsverhältnisses ist. In Anbetracht dessen, dass der Arbeitgeber das System Workday nicht produktiv, sondern lediglich für Testzwecke genutzt habe, fehlt es an der gem. § 26 Abs. 1 BDSG geforderten Erforderlichkeit der Verarbeitung. In Ermangelung der Erforderlichkeit der Datenverarbeitung bei Verwendung dieser lediglich für einem Systemtest, kommt auch Art. 6 Abs. 1 lit. f DSGVO als Ermächtigungsgrundlage nicht in Betracht.

Somit sah es das Gericht als erwiesen an, dass auch „ein Verstoß gegen diese Verordnung“ gem. Art. 82 Abs. 1 DSGVO vorlag.

Kein Verstoß liegt hingegen gegen die Vorschriften in Kapitel V der DSGVO vor. Diese Regeln die Übermittlung von personenbezogenen Daten an Drittländer oder an internationale Organisationen. Da die Übermittlung und die Speicherung der Daten des Klägers vor dem 25. Mai 2018 und somit vor dem Inkrafttreten der DSGVO erfolgten, ist die Anwendung der DSGVO abzulehnen.

Dem Kläger obliegt die Pflicht nachzuweisen, dass ihm durch den Verstoß gegen diese Verordnung ein immaterieller Schaden entstanden ist. Die Frage nach der „Erheblichkeitsschwelle“ bei einem Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO ist umstritten. Zudem ist der Begriff des Schadens an europarechtlichen und nicht an deutschen Maßstäben zu messen. Aus dem Erwägungsgrund Nummer 146 der DSGVO geht hervor, dass der Schaden „erlitten“ sein muss. Die bloße Befürchtung, dass ein Schaden eintreten würde, reicht hingegen nicht aus. Der Kläger sah die Gefahr eines Missbrauchs seiner Daten durch amerikanische Ermittlungsbehörden oder dritte Konzerngesellschaften bzw. einen Kontrollverlust über seine Daten als gegeben an und konnte durch seine Ausführungen hinreichend darlegen, dass seine Befürchtungen grundsätzlich dazu geeignet sind einen auszugleichenden immateriellen Schaden zu bilden.

Der geltend gemachte immateriellen Schaden des Klägers, konnte jedoch nicht dem festgestellten Verordnungsverstoß zu geordnet werden. Es ist jedoch unionsrechtlich anerkannt, dass zwischen erlittenen Schaden und Rechtsverstoß ein hinreichend unmittelbarer Zusammenhang bestehen muss. Fällt wie im vorliegenden Fall die Kausalitätsprüfung negativ aus, so ist auch ein Anspruch auf Schadensersatz gem. Art. 82 bis. 1 DSGVO abzulehnen. Überdies begründet ein Verstoß gegen § 26 Abs. 4 BDSG in Verbindung mit der Betriebsvereinbarung keinen Anspruch auf Schmerzensgeld nach Art. 82 DSGVO.

3. Resümee für die Praxis

Mit dem Urteil stellt das LAG Baden-Württemberg klar, dass der Datenmissbrauch oder der Kontrollverlust über die eigenen personenbezogenen Daten einen Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DSGVO begründen können. Dem Anspruchsteller obliegt jedoch die Darlegungs- und Beweislast für die Kausalität zwischen erlittenen Schaden und dem Verstoß gegen die DSGVO. Zu begrüßen ist, dass an die Kausalität und dem erlittenen Schaden hohe Anforderungen zu stellen sind, sodass ein rechtsmissbräuchlichen Geltendmachung des Anspruchs aus Art. 82 Abs. 1 DSGVO entgegen gewirkt werden kann.

Für die Praxis von höchster Relevanz ist die Ausführung des LAG Baden-Württemberg, dass die Verarbeitung von Beschäftigtendaten zum Zweck eines Softwaretests gem. § 26 Abs. 4 BDSG gerechtfertigt sein können. Dabei darf die Datenverarbeitung jedoch nicht – wie im vorliegenden Fall – über die Betriebsvereinbarung hinausgehen.

Praxisrelevant, aber im Urteil nicht weiter thematisiert, ist die Frage, inwieweit verspätete Auskünfte über die Verarbeitung personenbezogener Daten des Unternehmens einen Anspruch auf Schadensersatz begründen. Das Gericht hält Schadensersatzansprüche aufgrund einer verspäteten Auskunft jedoch für möglich.

Erneut zeigt sich die Tragweite der datenschutzrechtlichen Bestimmungen im unternehmerischen Alltag. Unternehmen sind in jeder Hinsicht, insbesondere zur Vermeidung von hohen Buß- und Schmerzensgeldern, mit der Etablierung eines Datenschutzmanagementsystems gut beraten.

Das Urteil des LAG Baden-Württembergs schafft jedoch noch keine finale Rechtssicherheit. Aufgrund der aufgeworfenen Fragen von grundsätzlicher Bedeutung hinsichtlich der Voraussetzungen eines Anspruchs auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO hat das Gericht die Revision zum Bundesarbeitsgericht zugelassen.

Über
Letzte Artikel

Christian Krösch

Rechtsanwalt | Betriebswirt (IWW)
Fachanwalt für Insolvenz- und Sanierungsrecht
Datenschutzauditor (TÜV)
Datenschutzbeauftragter (TÜV)

Zum Profil

Letzte Artikel von Christian Krösch (Alle anzeigen)

Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework in Kraft getreten - 11. Juli 2023
DSK-Update zu Cookie-Bannern: Version 1.1. mit neuen Anforderungen - 10. Mai 2023
DSK-Beschluss zu Drittlandsübermittlungen: Was Unternehmen jetzt beachten müssen - 13. März 2023

Erstes Urteil zu Schmerzensgeld bei Verstößen gegen die DSGVO im Arbeitsverhältnis

Lesen Sie nachfolgend warum das LAG Baden-Württemberg trotz eines Verstoßes des Arbeitgebers gegen die DSGVO einen Schadensersatzanspruch des Mitarbeiters gegen seinen Arbeitgeber ablehnte.

1. Sachverhalt

2. Entscheidungsgründe

3. Resümee für die Praxis

Ähnliche Beiträge

Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework in Kraft getreten

DSK-Update zu Cookie-Bannern: Version 1.1. mit neuen Anforderungen

DSK-Beschluss zu Drittlandsübermittlungen: Was Unternehmen jetzt beachten müssen

EuGH: Zur Abberufung des betrieblichen Datenschutzbeauftragten nach BDSG

Keine Bestellungspflicht eines Datenschutzbeauftragten wegen der eigenen Personalverwaltung