Datenschutz - immaterieller Schadenersatz
Leitsatz
Die Verarbeitung personenbezogener Daten, um eine neue Personalverwaltungs-Software zu testen, kann nach Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO zur Wahrung der berechtigten Interessen des Arbeitgebers gerechtfertigt sein, sofern entpersonalisierte "Dummy-Daten" zur Erreichung des Testzwecks nicht ausreichen.
Instanzenzug: Az: 5 Ca 18/18 Urteilvorgehend Landesarbeitsgericht Baden-Württemberg Az: 17 Sa 37/20 Urteil
Tatbestand
1Die Parteien streiten in der Revision noch über einen Anspruch auf immateriellen Schadenersatz nach Art. 82 Abs. 1 DSGVO wegen einer Übertragung von Personaldaten in eine testweise konzernweit genutzte cloudbasierte Software „Workday“.
2Der Kläger ist langjährig zunächst bei der Rechtsvorgängerin der Beklagten und zuletzt bei der Beklagten als Organisationsprogrammierer beschäftigt.Er ist der Vorsitzende des bei der Beklagten gebildeten Betriebsrats. Im hier relevanten Zeitraum gehörte die Beklagte mit Sitz in Deutschland zu einem internationalen Konzern, dessen Konzernobergesellschaft ihren Hauptsitz in Washington D.C. hatte.
3Die Beklagte verarbeitete bestimmte personenbezogene Daten ihrer Beschäftigten ua. zu Abrechnungszwecken mit einer Personalverwaltungs-Software. Im Jahr 2017 gab es Planungen, konzernweit Workday als neues einheitliches Personal-Informationsmanagementsystem einzuführen. Zwischen dem 24. April und dem lud die Beklagte personenbezogene Daten des Klägers aus ihrer Personalverwaltungs-Software auf eine Sharepoint-Seite der Konzernobergesellschaft mit Server-Standort in den USA, um sie in die Software Workday zu übertragen. Neben Informationen wie dem Namen, Vornamen, dienstlicher Telefonnummer und dienstlicher E-Mail-Adresse gehörten zu den übermittelten Daten ua. auch Gehaltsinformationen, die private Wohnanschrift, Geburtsdatum, Familienstand, die Sozialversicherungsnummer und die Steuer-ID des Klägers.
4Am unterzeichneten die Beklagte und der bei ihr bestehende Betriebsrat eine „Duldungs-Betriebsvereinbarung über die Einführung von Workday“ (im Folgenden BV Duldung), mit der sie den vorläufigen Betrieb von Workday regelten. Nach der BV Duldung war es ua. untersagt, die Software während des Testzeitraums für die Personalverwaltung zu verwenden. Weiter war dort vereinbart, dass vor der Einführung des Systems als Produktivsystem eine Betriebsvereinbarung abgeschlossen werden muss, die die Anwendung von Workday regelt. In der Anlage 2 zur BV Duldung wurden die zur testweisen Nutzung der Software Workday aus der Personalverwaltungs-Software zu übermittelnden Daten aufgelistet: Personalnummer, Nachname, Vorname, Eintrittsdatum, Eintrittsdatum im Konzern, Arbeitsort, Firma, geschäftliche Telefonnummer und geschäftliche E-Mail-Adresse. Die Wirkungen der BV Duldung wurden bis zum Inkrafttreten einer unter dem im Rahmen eines Einigungsstellenverfahrens geschlossenen endgültigen Betriebsvereinbarung mehrfach verlängert.
5Der Kläger hat die Auffassung vertreten, ihm stehe nach Art. 82 Abs. 1 DSGVO immaterieller Schadenersatz in einer Größenordnung von 3.000,00 Euro zu. Der Beklagten sei es nach der Datenschutz-Grundverordnung und den einschlägigen Bestimmungen des Bundesdatenschutzgesetzes nicht erlaubt gewesen, im Zeitraum vom bis zum Ende des ersten Quartals 2019 im cloudbasierten Personal-Informationsmanagementsystem Workday personenbezogene Echtdaten zu verarbeiten. Die Datenverarbeitung sei nicht zu Testzwecken für den späteren Betrieb von Workday als konzernweit einheitliches Personal-Informationsmanagementsystem erforderlich gewesen. Vielmehr hätten für die Testphase sog. Dummy-Versuchsdaten ausgereicht. Die Beklagte habe im Übrigen über die in der BV Duldung und deren Anlagen genannten Datenkategorien hinausgehend auch weitere Daten wie seine privaten Kontaktdaten, Vertrags- und Vergütungsdetails, seine Sozialversicherungsnummer, seine Steuer-ID, seine Staatsangehörigkeit und seinen Familienstand übermittelt. Soweit der Kläger zunächst auch beanstandet hatte, es sei überdies nicht rechtmäßig gewesen, seine personenbezogenen Daten auf eine Sharepoint-Seite der Konzernobergesellschaft mit Server-Standort in den USA zu übertragen und er insoweit Verstöße gegen Art. 28 und Art. 44 ff. DSGVO behauptet hatte, hat er sich darauf im Revisionsverfahren ausdrücklich nicht mehr berufen. Zuletzt hat sich der Kläger ausschließlich noch darauf gestützt, dass die Beklagte personenbezogene Daten verarbeitet habe, die von der BV Duldung nicht erfasst gewesen seien.
6Der Kläger hat zuletzt noch beantragt,
7Die Beklagte hat beantragt, die Klage abzuweisen. Sie hat die Auffassung vertreten, nicht gegen datenschutzrechtliche Bestimmungen verstoßen zu haben. Der Kläger habe im Übrigen einen immateriellen Schaden nicht hinreichend dargetan.
8Das Arbeitsgericht hat die ursprünglich auch auf Auskunft, Versicherung an Eides statt und Löschung gerichtete Klage abgewiesen. Das Landesarbeitsgericht hat die nur noch auf immateriellen Schadenersatz gerichtete Berufung des Klägers zurückgewiesen. Mit seiner vom Landesarbeitsgericht zugelassenen Revision verfolgt der Kläger seinen Schadenersatzantrag weiter. Die Beklagte begehrt die Zurückweisung der Revision.
9Der Senat hat mit Beschluss vom (- 8 AZR 209/21 (A) - BAGE 179, 120) das Revisionsverfahren ausgesetzt und den Gerichtshof der Europäischen Union (im Folgenden Gerichtshof) nach Art. 267 AEUV um Vorabentscheidung insbesondere über Rechtsfragen zur Auslegung von Art. 88 Abs. 1 DSGVO im Zusammenhang mit Betriebsvereinbarungen nach § 26 Abs. 4 BDSG ersucht. Über das Vorabentscheidungsersuchen hat der Gerichtshof mit Urteil vom (- C-65/23 - [K GmbH]) entschieden.
Gründe
10Die Revision des Klägers ist teilweise begründet. Dies führt zur teilweisen Aufhebung des Berufungsurteils und zur teilweisen Abänderung des arbeitsgerichtlichen Urteils. Der Kläger hat gegen die Beklagte einen Anspruch auf einen immateriellen Schadenersatz aus Art. 82 Abs. 1 DSGVO.
11I. Der Kläger hat gegen die Beklagte einen Anspruch auf Zahlung immateriellen Schadenersatzes in Höhe von 200,00 Euro nebst Zinsen ab dem . Ein Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO setzt einen Verstoß gegen die Datenschutz-Grundverordnung, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß voraus, wobei diese drei Voraussetzungen kumulativ gegeben sein müssen (vgl. - [Agentsia po vpisvaniyata] Rn. 140; - C-300/21 - [Österreichische Post] Rn. 32; - Rn. 10). Diese Voraussetzungen sind erfüllt.
121. Die Beklagte hat gegen Bestimmungen der Datenschutz-Grundverordnung iSv. Art. 82 Abs. 1 DSGVO verstoßen.
13a) Der Kläger hat seinen Schadenersatzanspruch zuletzt ausschließlich noch darauf gestützt, dass die Beklagte personenbezogene Daten verarbeitet hat, die von der BV Duldung nicht erfasst waren. Er hat diese Erklärung in der mündlichen Verhandlung vor dem Senat am nach der Vorabentscheidung durch den Gerichtshof abgegeben. Der Kläger beruft sich somit nicht mehr darauf, dass ein Verstoß gegen die Datenschutz-Grundverordnung auch in Bezug auf diejenigen Daten vorliege, deren Übertragung in Einklang mit der BV Duldung steht. Es kommt daher in Bezug auf die von der BV Duldung erfassten Daten nicht darauf an, ob § 26 Abs. 4 BDSG iVm. der BV Duldung als „spezifischere Vorschriften“ iSv. Art. 88 Abs. 1 DSGVO bewirken, dass ihre Adressaten die sich aus Art. 5, Art. 6 Abs. 1 sowie Art. 9 Abs. 1 und Abs. 2 DSGVO ergebenden Anforderungen erfüllen (vgl. dazu - [K GmbH] Rn. 34 ff.). Der Senat hatte daher nicht zu prüfen, ob die Betriebsvereinbarung so ausgestaltet war, dass die Anforderungen der Datenschutz-Grundverordnung erfüllt wurden.
14b) Die Beklagte hat gegen die Datenschutz-Grundverordnung verstoßen, indem sie die von der BV Duldung nicht erfassten personenbezogenen Daten des Klägers auf eine Sharepoint-Seite der Konzernobergesellschaft übertragen hat, um damit Daten in die Software Workday einzuspeisen und diese dort zu verarbeiten. Dem steht nicht entgegen, dass die Beklagte die personenbezogenen Daten des Klägers bereits in der Zeit zwischen dem 24. April und dem und damit vor Geltung der Datenschutz-Grundverordnung ab dem (Art. 99 Abs. 2 DSGVO) in Workday übertragen hat. Auch nach der Übertragung war die Beklagte weiterhin Verantwortliche iSv. Art. 4 Nr. 7 DSGVO. Hierfür ist es nicht erforderlich, dass der Verantwortliche allein über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, dies kann nach Art. 4 Nr. 7 DSGVO auch gemeinsam mit anderen erfolgen. Die Beklagte hat sich ab dem Zeitpunkt der Geltung der Datenschutz-Grundverordnung nicht um eine Rückübertragung oder Löschung der Daten des Klägers in Workday bemüht, eine solche hat auch nicht stattgefunden. Vielmehr hat die Beklagte - im Gegenteil - durch die mehrfache Verlängerung des Geltungs- und Nachwirkungszeitraums der BV Duldung, zuletzt bis zum , zu erkennen gegeben, dass sie fortgesetzt aktiv als Verantwortliche iSv. Art. 4 Nr. 7 DSGVO gehandelt hat, um den vorläufigen Betrieb von Workday durch den Abschluss weiterer Betriebsvereinbarungen sicherzustellen ( (A) - Rn. 20, BAGE 179, 120).
15c) Soweit die Beklagte von der BV Duldung nicht erfasste Daten wie private Kontaktdaten, Vertrags- und Vergütungsdetails, Sozialversicherungsnummer, Steuer-ID, Staatsangehörigkeit und Familienstand übertragen hat, handelt es sich um personenbezogene Daten des Klägers iSv. Art. 4 Nr. 1 DSGVO.
16d) Die Verarbeitung dieser vorgenannten personenbezogenen Daten zu Testzwecken in Workday ist nicht nach Art. 88 Abs. 1 DSGVO iVm. § 26 Abs. 1 BDSG zulässig. § 26 Abs. 1 BDSG hat unangewendet zu bleiben.
17aa) § 26 Abs. 1 BDSG erfüllt nicht die Voraussetzungen der Öffnungsklausel des Art. 88 DSGVO. Spezifischere Vorschriften iSv. Art. 88 Abs. 1 DSGVO sind nur gegeben, wenn sie sich nicht auf eine Wiederholung der Bestimmungen der Datenschutz-Grundverordnung beschränken, sondern einen zum normierten Bereich passenden Regelungsgehalt haben, der sich von den allgemeinen Regeln der Datenschutz-Grundverordnung unterscheidet. Zudem müssen sie auf den Schutz der Rechte und Freiheiten der Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext abzielen und geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person iSv. Art. 88 Abs. 2 DSGVO umfassen (vgl. - [Hauptpersonalrat der Lehrerinnen und Lehrer] Rn. 65, 71, 74; - Rn. 63, BAGE 181, 1). Diese Anforderungen erfüllt § 26 Abs. 1 Satz 1 BDSG schon deshalb nicht, weil es an Schutzmaßnahmen iSv. Art. 88 Abs. 2 DSGVO fehlt ( - Rn. 64, aaO).
18bb) Nationale Rechtsvorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten von Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext müssen unangewendet bleiben, wenn sie nicht die in Art. 88 Abs. 1 und Abs. 2 DSGVO vorgegebenen Voraussetzungen und Grenzen beachten, es sei denn, sie stellen eine Rechtsgrundlage iSv. Art. 6 Abs. 3 DSGVO dar, die den Anforderungen dieser Verordnung genügt ( - [Hauptpersonalrat der Lehrerinnen und Lehrer] Rn. 76 ff.).
19cc) In Bezug auf die Verarbeitung von personenbezogenen Daten in dem vorliegend infrage stehenden Personal-Informationsmanagementsystem Workday stellt § 26 Abs. 1 BDSG keine Rechtsgrundlage iSv. Art. 6 Abs. 3 DSGVO dar (vgl. dagegen für Datenverarbeitung, um ein gesetzliches Recht der Arbeitnehmervertretungen zu erfüllen - Rn. 65 ff., BAGE 181, 1). Die Beklagte hat weder geltend gemacht noch ist sonst ersichtlich, dass die Verarbeitung der personenbezogenen Daten des Klägers in Workday zur Erfüllung einer rechtlichen Pflicht iSv. Art. 6 Abs. 1 Unterabs. 1 Buchst. c DSGVO, oder für die Wahrnehmung einer Aufgabe, die iSv. Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO im öffentlichen Interesse liegt, erforderlich gewesen sei.
20e) Soweit spezifischere Vorschriften fehlen, die die in Art. 88 DSGVO vorgegebenen Voraussetzungen und Grenzen erfüllen, wird die Verarbeitung personenbezogener Daten im Beschäftigungskontext unmittelbar durch die Bestimmungen der Datenschutz-Grundverordnung geregelt ( - [K GmbH] Rn. 53; - C-34/21 - [Hauptpersonalrat der Lehrerinnen und Lehrer] Rn. 82 ff.). Nach den Bestimmungen der Datenschutz-Grundverordnung ist die Übertragung der von der BV Duldung nicht erfassten personenbezogenen Daten des Klägers in die Software Workday zu Testzwecken nicht gerechtfertigt.
21aa) Die Überlassung dieser Daten an die Konzernobergesellschaft ist nicht nach Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO gerechtfertigt. Danach ist die Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Eine Rechtfertigung der Verarbeitung personenbezogener Daten im vorläufigen Betrieb von Workday zu „Testzwecken“ ist nicht von vornherein ausgeschlossen, sofern entpersonalisierte sog. Dummy-Versuchsdaten nicht ausreichen, um den Testzweck zu erreichen ( (A) - Rn. 29, BAGE 179, 120). Ein vorläufiger Testbetrieb mit personenbezogenen Daten kann im Einzelfall zur Wahrung der berechtigten Interessen des Arbeitgebers erforderlich sein, um eine Softwareumstellung vorzubereiten. Allerdings stellt sich hier die überschießende Datenverarbeitung im Ergebnis schon deshalb als nicht erforderlich iSv. Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO dar, weil sie über die Erlaubnis in der BV Duldung hinausgeht (vgl. (A) - Rn. 24, aaO). Die Beklagte hat mit dem Betriebsrat in der BV Duldung vereinbart, dass bestimmte personenbezogene Daten zu Testzwecken an die Konzernobergesellschaft übertragen werden. Dabei handelt es sich um die Personalnummer, den Nachnamen, den Vornamen, das Eintrittsdatum, das Eintrittsdatum in den Konzern, den Arbeitsort, die Firma, die geschäftliche Telefonnummer und die geschäftliche E-Mail-Adresse. Nachdem die Beklagte und der Betriebsrat die Erlaubnis auf diese im Einzelnen aufgezählten personenbezogenen Daten beschränkt haben, ist davon auszugehen, dass lediglich diese Daten für Testzwecke erforderlich waren. Die Beklagte behauptet selbst nicht, dass die weiteren von ihr an die Konzernobergesellschaft übertragenen Daten erforderlich gewesen wären, um Workday zu testen.
22bb) Die Übertragung der über die Erlaubnis in der BV Duldung hinausgehenden Daten ist auch nicht nach Art. 6 Abs. 1 Unterabs. 1 Buchst. b DSGVO gerechtfertigt. Danach ist die Verarbeitung rechtmäßig, wenn sie für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen. Zwar ist der Senat im Vorlagebeschluss vom noch von einer möglichen Rechtfertigung nach Art. 6 Abs. 1 Unterabs. 1 Buchst. b DSGVO ausgegangen (- 8 AZR 209/21 (A) - Rn. 29, BAGE 179, 120). Nach der inzwischen ergangenen Rechtsprechung des Gerichtshofs stellt die hier zu beurteilende Nutzung von personenbezogenen Echtdaten zu Testzwecken für eine Softwareumstellung wohl eine Weiterverarbeitung iSv. Art. 5 Abs. 1 Buchst. b DSGVO dar, die einem anderen Zweck dient als demjenigen, für den die Daten ursprünglich erhoben worden sind (vgl. - [Digi] Rn. 22 ff.). Die an die Konzernobergesellschaft zu Testzwecken übermittelten Daten dienten daher nicht mehr der Erfüllung des Arbeitsverhältnisses iSv. Art. 6 Abs. 1 Unterabs. 1 Buchst. b DSGVO. Jedenfalls stellt sich die Übertragung der über die Erlaubnis in der BV Duldung hinausgehenden Daten im Rahmen von Art. 6 Abs. 1 Unterabs. 1 Buchst. b DSGVO ebenso wenig als erforderlich dar wie nach Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO.
232. Der Kläger hat durch die Übertragung der von der BV Duldung nicht erfassten personenbezogenen Daten einen immateriellen Schaden iSv. Art. 82 Abs. 1 DSGVO erlitten.
24a) Der - selbst kurzzeitige - Verlust der Kontrolle über personenbezogene Daten kann einen immateriellen Schaden iSv. Art. 82 Abs. 1 DSGVO darstellen, der einen Schadenersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden - so geringfügig er auch sein mag - erlitten hat ( - [Agentsia po vpisvaniyata] Rn. 150; - C-741/21 - [juris] Rn. 42; - Rn. 13; - Rn. 30, BGHZ 242, 180).
25b) Der Schaden liegt in dem durch die Übertragung der personenbezogenen Daten an die Konzernobergesellschaft und deren weitere Verarbeitung in der Software Workday erlittenen Kontrollverlust (vgl. - Rn. 16). Die hier gegebene Fallgestaltung einer Weitergabe der Daten unterscheidet sich von der verspäteten Auskunft nach Art. 15 DSGVO, die für sich genommen keinen Kontrollverlust über Daten iSd. Gefahr einer missbräuchlichen Verwendung, sondern nur einen Zeitverzug hinsichtlich der Auskunft begründet ( - Rn. 17; - Rn. 32; vgl. Vorlagebeschluss an den Gerichtshof - Rn. 40 ff.).
263. Der Schaden in Gestalt des eingetretenen Kontrollverlustes ist auch kausal durch den Verstoß der Beklagten gegen die Datenschutz-Grundverordnung verursacht.
274. Der Senat kann über die Höhe des immateriellen Schadenersatzes selbst entscheiden, da sämtliche entscheidungsrelevanten Tatsachen feststehen. Dem Kläger steht ein immaterieller Schadenersatz in Höhe von 200,00 Euro zu.
28a) Bei der Bemessung der Höhe des nach Art. 82 Abs. 1 DSGVO geschuldeten Schadenersatzes haben die nationalen Gerichte in Ermangelung einer Bestimmung in der Datenschutz-Grundverordnung die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden. Art. 82 Abs. 1 DSGVO verlangt dabei nicht, dass die Schwere des Verschuldens des Verantwortlichen bzw. des Auftragsverarbeiters berücksichtigt wird. Die Ausgleichsfunktion des in Art. 82 Abs. 1 DSGVO verankerten Schadenersatzanspruchs schließt es sogar aus, dass eine etwaige Vorsätzlichkeit des Verstoßes gegen die Datenschutz-Grundverordnung bei der Bemessung des Schadenersatzes berücksichtigt wird. Der Betrag ist jedoch so festzulegen, dass er den konkret aufgrund des Verstoßes gegen die Datenschutz-Grundverordnung erlittenen Schaden in vollem Umfang ausgleicht (vgl. ua. - [Scalable Capital] Rn. 27 ff. mwN; - Rn. 192 ff.; - Rn. 36; vgl. - Rn. 8 ff.; - VI ZR 10/24 - Rn. 95 ff., BGHZ 242, 180).
29b) Ausgehend von diesen Grundsätzen ist ein Schadenersatz in Höhe von 200,00 Euro angemessen. Dieser Betrag ist erforderlich aber auch ausreichend, um den dem Kläger entstandenen immateriellen Schaden auszugleichen. Dabei sind insbesondere die Sensibilität der konkret betroffenen personenbezogenen Daten unterhalb der Schwelle des Art. 9 DSGVO zu beachten, ebenso wie der größere, jedoch im Konzern begrenzte Empfängerkreis und die Dauer des Kontrollverlustes (vgl. - Rn. 99, BGHZ 242, 180). Keine Rolle bei der Bemessung der Höhe des Schadenersatzes konnte der Umstand spielen, dass personenbezogene Daten des Klägers in ein Drittland übertragen worden sind. Der Kläger hat erklärt, sich nicht auf Verstöße gegen Art. 44 ff. DSGVO zu berufen.
30II. Die Kostenentscheidung folgt für die Berufung und die Revision aus § 97 Abs. 1, § 92 Abs. 1 ZPO und entspricht dem Verhältnis des wechselseitigen Obsiegens. Die Kosten des Rechtsstreits erster Instanz hat der Kläger nach § 92 Abs. 2 Nr. 1 ZPO zu tragen.
ECLI Nummer:
ECLI:DE:BAG:2025:080525.U.8AZR209.21.0
Fundstelle(n):
DStR-Aktuell 2025 S. 12 Nr. 20
NWB-Eilnachricht Nr. 23/2025 S. 1564
NWB-Eilnachricht Nr. 23/2025 S. 1564
ZIP 2025 S. 4 Nr. 20
EAAAJ-97460