DA+

Urteil : Speicherung von Beschäftigtendaten zu Testzwecken und Schadensersatz (Ls) : aus der RDV 3/2021, Seite 165 bis 166

(Landesarbeitsgericht Baden-Württemberg, Urteil vom 25. Februar 2021 – 17 Sa 37/20 –)

Archiv RDV
Lesezeit 1 Min.
  1. Werden personenbezogene Daten von Beschäftigten über den 24. Mai 2018 hinaus verarbeitet (gespeichert), ist dies ab dem 25. Mai 2018 am Maßstab der DS-GVO zu messen.
  2. Erfolgt die Verarbeitung/Speicherung der personenbezogenen Daten von Beschäftigten, zum Zwecke, ein (noch) nicht produktiv genutztes, später noch konzernweit einzuführendes cloudbasiertes Personalinformationsmanagementsystem zu testen, scheidet § 26 Abs. 1 BDSG wie auch Art. 6 Abs. 1 Buchst. f DS-GVO als Rechtsgrundlage der Verarbeitung mangels Erforderlichkeit aus. Als Rechtsgrundlage einer Datenverarbeitung kommt in diesem Fall als Kollektivvereinbarung i.S.v. § 26 Abs. 4 BDSG eine Betriebsvereinbarung in Betracht.
  1. Bestimmt die Betriebsvereinbarung für die vorübergehende Nutzung des Personalinformationsmanagementsystems die Kategorien der vorübergehend nutzbaren Daten, ist die Verarbeitung anderer personenbezogener Daten rechtswidrig.
  2. Wurden die personenbezogenen Daten von Beschäftigten vor dem 25. Mai 2018 an die Konzernmutter in ein Drittland (USA) übermittelt, liegt kein Verstoß des die Daten übermittelnden Arbeitgebers als Verantwortlicher gegen die Bestimmungen des V. Kapitels der DS-GVO (Art. 44 ff. DS-GVO) vor.
  3. Hat der Arbeitgeber als Verantwortlicher mit der Konzernmutter als Auftragsverarbeiter vor dem 25. Mai 2018 Standardvertragsklauseln auf der Grundlage des Anhangs des Beschlusses der Kommission vom 5. Februar 2010 (2010/87/EU) vereinbart und diese Standardvertragsklauseln durch Anhänge und weitere Vertragswerke um die Inhalte des Art. 28 Abs. 3 DS-GVO ergänzt, liegt seitens des verantwortlichen Arbeitgebers kein Verstoß gegen Art. 28 DSGVO vor.
  4. Verlangt ein Beschäftigter wegen der überschießenden Datenverarbeitung durch die Konzernmutter in den USA vom verantwortlichen Arbeitgeber nach Art. 82 Abs. 1, 2 DS-GVO immateriellen Schadensersatz und macht er als immateriellen Schaden die Gefahr eines Missbrauchs der Daten durch Ermittlungsbehörden in den USA oder andere Konzerngesellschaften bzw. einen Kontrollverlust geltend, kommen diese Umstände grundsätzlich zur Begründung eines immateriellen Schadens i.S.v. Art. 82 DS-GVO in Betracht. Für eine Haftung des Arbeitgebers ist jedoch zusätzlich erforderlich, dass der Schaden „wegen eines Verstoßes“ gegen die DS-GVO entstanden ist, d.h. einem Verordnungsverstoß zugeordnet werden kann (Kausalität). Daran fehlt es, wenn der Arbeitgeber weder gegen die Bestimmungen des V. Kapitels der DS-GVO noch gegen Art. 28 DS-GVO verstoßen hat. Der verbleibende Verstoß gegen § 26 Abs. 4 BDSG i.V.m. den Bestimmungen der Betriebsvereinbarung löst allein keinen Schadensersatzanspruch nach Art. 82 DSGVO aus.