Photo by Carlos Muza on Unsplash
I. Herausforderung
Bei der Einführung von bestimmten IT-Systemen hat der Betriebsrat ein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG und kann eine Betriebsvereinbarung in der Einigungsstelle erzwingen. Allerdings kommt es mitunter vor, dass der Arbeitgeber zu Testzwecken bereits vor Abschluss der Betriebsvereinbarung Echtdaten der Mitarbeiter:innen verarbeiten möchte. Ziel dieser Verarbeitung ist es, die zukünftige Einführung der Software in den Betrieb zu erleichtern. Doch wann ist hierin ein Verstoß gegen die DS-GVO zu sehen und ab wann entstehen einzelnen Mitarbeiter:innen sogar Schadensersatzansprüche?
Das LAG Baden-Württemberg hat entschieden, dass wenn der Arbeitgeber Beschäftigtendaten verarbeitet, um die Einführung einer Computersoftware zu testen, hierin auch ein Verstoß gegen die Datenschutzgrundverordnung (DS-GVO) zu sehen sein kann. Betroffene Mitarbeiter:innen können sogar unter bestimmten Gesichtspunkten einen Schadensersatzanspruch geltend machen (LAG Baden-Württemberg 25.02.2021 – 17 Sa 37/20).
II. Inhalt der Entscheidung
Der Arbeitgeber wollte die cloudbasierte Computersoftware „Workday“ einführen. Hierzu vereinbarte er mit dem Betriebsrat eine sogenannte „Duldungs-Betriebsvereinbarung“. Durch diese Vereinbarung wurde dem Arbeitgeber gestattet, vereinzelt ausgewählte Beschäftigtendaten zu Testzwecken auf einen Sharepoint in den USA zu verarbeiten. Ungeachtet dessen transportierte der Arbeitgeber allerdings auch solche Datensätze auf den Sharepoint, die von der Duldungs-Betriebsvereinbarung nicht umfasst waren. Dabei betonte er ausdrücklich, dass die Verarbeitung nur zu Testzwecken stattfand. Der klagende Mitarbeiter sah hierin einen Verstoß gegen die Datenschutzgrundverordnung und machte einen Schadensersatzanspruch nach Art. 82 DS-GVO geltend. Den Schaden begründete er unter anderem damit, dass US-amerikanische Behörden permanenten Zugriff auf seine Daten hatten.
1.Ist eine Datenverarbeitung lediglich zu Testzwecken erlaubt?
Gemäß § 26 Abs. 1 BDSG ist die Verarbeitung personenbezogener Daten nur dann erlaubt, wenn sie „erforderlich“ ist. Dies sei vorliegend zu verneinen, da es in dem Konzernunternehmen neben der Software „Workday“ bereits ein anderes IT-System gebe, welches produktiv genutzt werde. Darüber hinaus habe der Arbeitgeber auch gem. Art. 6 Abs. 1 Buchst. f) DS-GVO kein berechtigtes Interesse an der Verarbeitung, weil es zumindest mildere Mittel gebe, um das System zu testen (z.B. anhand eines fiktiven „Max Mustermann“). Eine Verarbeitung „echter“ personenbezogener Daten sei also nicht verhältnismäßig. Insbesondere wurde von der Arbeitgeberseite auch nicht vorgetragen, warum Echtdaten zwingend erforderlich sind. Zwar stelle die Duldungs-Betriebsvereinbarung einen rechtmäßigen Erlaubnistatbestand für die Verarbeitung von Beschäftigtendaten dar. Allerdings beschränke sich die Befugnis nur auf einzelne in der Duldungs-Betriebsvereinbarung explizit genannte Daten.
Damit war die Datenverarbeitung unzulässig. Nach Auffassung des Gerichts könne eine derartige Verarbeitung grundsätzlich einen immateriellen Schaden begründen. Außerdem genüge es bereits, dass personenbezogene Daten Unbefugten bekannt geworden seien. Es müssen keine schwerwiegenden Persönlichkeitsverletzungen geltend gemacht werden. Auch für die Bestimmbarkeit des Anspruchs genüge es, nur diejenigen Tatsachen vorzutragen, die dem Gericht eine Schätzung des Schadens erlauben. Allerdings reiche nicht die bloße Befürchtung, dass ein Schaden eintreten könnte.
2. Notwendig ist, dass ein „kausaler Schaden“ erlitten wurde
Im Ergebnis verneinte das Gericht insbesondere wegen der fehlenden Kausalität den Schadensersatzanspruch. Der betroffene Mitarbeiter müsse den Schaden vielmehr „erlitten“ haben. Der Rechtsverstoß müsse also kausal für die Schadensentstehung sein. Daran fehle es hier vor allem auch deshalb, weil das Konzernunternehmen trotz unzulässiger Verarbeitung weiterhin die „volle Kontrolle“ über die Daten hatte. Zwar waren Beschäftigtendaten kurzzeitig Unbefugten in den USA sichtbar, allerdings konnte die Datenverarbeitung unverzüglich wieder rückgängig gemacht werden, ohne, dass die Mitarbeiter:innen einen kausalen Schaden „erlitten“ hätten. Eine Datenübermittlung in die USA sei zwar grundsätzlich problematisch, allerdings wurde unter anderem die Übermittlung vorliegend durch geeignete EU-Standardvertragsklauseln im Rahmen der Auftragsverarbeitung abgesichert.
III. Auswirkungen auf die Betriebsratsarbeit
Im Grundsatz ist es begrüßenswert, dass das Gericht hohe Voraussetzung an die Verarbeitung von personenbezogenen Daten setzt. Selbst, wenn die Datenverarbeitung lediglich zu Testzwecken erfolgt, ist sie nicht unbedingt und in jedem Fall durch die DS-GVO gedeckt. Nichtsdestotrotz können Betriebsparteien hiervon Ausnahmen machen und Erlaubnistatbestände für die Verarbeitung schaffen. Gerade deshalb sollten Betriebsräte zwingend darauf achten, dass sie in der Betriebsvereinbarung keine überschießende Datenverarbeitung erlauben. Außerdem ist die Datenübermittlung ins Ausland strikt zu reglementieren. Der Betriebsrat sollte vor allem kontrollieren, ob das Schutzniveau der EU-Standardvertragsklauseln zum internationalen Datentransfer im Rahmen der Auftragsverarbeitung eingehalten wurden.
Für die einzelnen Mitarbeiter:innen gilt, dass sie einen kausalen Schaden nachweisen müssen. Damit setzt das Gericht bedauerlicherweise hohe Anforderungen an die Darlegungs- und Beweislast hinsichtlich der Schadensermittlung. Nichtsdestotrotz werden sich Arbeitgeber aufgrund „abschreckend hoher“ Schadensersatzsummen an die Regelungen der DS-GVO halten müssen, wenn sie keine hohen Haftsummen riskieren wollen.