So hat das Landesarbeitsgericht (LAG) Hamm mit Urteil vom 14.12.2021, Az.: 17 Sa 1185/20 die Berufung eines Arbeitgebers gegen das Urteil des Arbeitsgerichts (ArbG) Herne bestätigt. Dieses entschied zuvor, dass der Klägerin ein immaterieller Schadensersatzanspruch in Höhe von 2.000 € wegen unzulässiger, konzerninterner Datenweitergabe zustehe.
Entscheidungssachverhalt
Die Beklagte ist Betreiberin eines Krankenhauses, in welchem die Klägerin angestellt ist. Mehrheitsgesellschafter der Beklagten ist die Deutsche Rentenversicherung Knappschaft-Bahn-See (DRV KBS). Diese ist zudem Alleingesellschafterin einer zugehörigen GmbH, welche Aufgaben der Organisation, des Managements und des Personalcontrollings im Klinikverbund der DRV KBS übernimmt.
Entsprechend Art. 4 Nr. 19 Datenschutzgrundverordnung (DS-GVO) handelt es sich bei den zusammengehörenden Unternehmen um eine Unternehmensgruppe (Konzern).
Der zugehörigen GmbH steht ein Mitspracherecht beim Abschluss oder Änderungen von Arbeitsverträgen, die eine Brutto-Jahresgrenze von 80.000€ übersteigen.
Um den Ist-Stand der darunterfallenden Verträge zu ermitteln, sollten die Personalleiter der Verbundkliniken einen Fragebogen mit, unter anderem folgenden Pflichtangaben an die GmbH übermitteln:
- die Personalnummer,
- Name und Vorname,
- das Einstellungs-/Vertragsänderungsdatum,
- eine etwaige Befristung,
- das Jahresbruttoentgelt,
- die Zielprämie/Tantieme
- sowie die sonstigen gewährten Leistungen nach Bezeichnung und Höhe.
Die betroffenen Personen wurden über die Datenweitergabe informiert nicht jedoch um eine Einwilligung gebeten. Die Klägerin wehrte sich daraufhin gegen die Datenweitergabe vor dem ArbG Herne und beantragte die Zahlung eines immateriellen Schadensersatzes i.H.v. mind. 10.000 € gem. Art. 82 DS-GVO aufgrund der unrechtmäßigen Verarbeitung ihrer personenbezogenen Daten.
Entscheidungsbegründung
Das LAG Hamm schloss sich der Entscheidung des ArbG Herne an, dass konzerninterne Weitergabe der Daten im konkreten Fall aus unter anderem den folgenden Gründen unzulässig sei:
- Keine Rechtfertigung nach § 26 Abs. 1 Bundesdatenschutzgesetz (BDSG)
Personenbezogene Daten von Beschäftigten dürfen gem. § 26 Abs. 1 BDSG für Zwecke des Beschäftigtenverhältnisses verarbeitet werden.
„Für die Durchführung des Arbeitsverhältnisses ist eine Verarbeitung von personenbezogenen Daten danach erforderlich, wenn und soweit der Arbeitgeber sie benötigt, um die Pflichten zu erfüllen und die Rechte geltend machen zu können, welche im Hinblick auf das Arbeitsverhältnis in gesetzlichen Vorschriften, Kollektivverträgen und Individualvereinbarungen mit dem Arbeitnehmer geregelt sind.“ (Rn. 127)
Das Gericht sah im vorliegenden Sachverhalt jedoch keinen durch die vorgenannte Vorschrift gedeckten Verarbeitungsweck. Insbesondere sei die konzernzugehörige GmbH keine Personalabteilung der Beklagten. Auch sei kein Konzernbezug in der von der Klägerin ausgeführten Tätigkeit erkennbar. Ferner bestätigte die Beklagte die Daten seien für rein interne Verwaltungszwecke übermittelt worden. Demnach kommt eine Rechtfertigung nach der genannten Norm nicht in Betracht.
- Kein überwiegendes berechtigtes Interesse des Beklagten nach Art. 6 Abs. 1 lit. f) DS-GVO
Die Datenweitergabe soll einen konzernweiten Vergleich der Gehälter und sonstigen Entgeltbestandteile der im Konzern Beschäftigten ermöglichen. Das damit verbundene Ziel, die Vergütungspraxis konzernweit einheitlich und widerspruchsfrei zu gestalten ist nach Ansicht des Gerichts ein berechtigtes wirtschaftliches Interesse iSd. benannten Vorschrift. Die Übermittlung in der erfolgten Form war nach Auffassung des LAG Hamm jedoch nicht erforderlich. Das verfolgte Ziel hätte auch mit der Übermittlung anonymisierter Daten erreicht werden können. (Rn. 140)
Fazit
Es ist eine allgemeine Tendenz deutscher Gerichte erkennbar, bei DS-GVO Verstößen vermehrt auch immaterielle Schadenersatzansprüche zuzusprechen.
(siehe dazu auch die audatis Artikel „OLG Dresden – Geschäftsführer ist „Verantwortlicher“ im Sinne der DS-GVO“, „Google Fonts – unrechtmäßige Datenverarbeitung durch Drittanbieter“ sowie „Immaterieller Schadenersatz nach Datenpanne“)
Damit wächst mit jedem ergangenen Urteil das Risiko wegen datenschutzrechtlicher Verstöße auch bei ausgebliebenen materiellen Schäden, wegen immaterieller Schäden ersatzpflichtig zu werden.
Empfehlung
Die Problematik der Übermittlung personenbezogener Daten an weitere Verantwortliche innerhalb der Unternehmensgruppe betrifft jeden Konzern – dies umso mehr, je stärker in Matrixstrukturen gearbeitet wird.
Dies hat zur Folge, dass sich jede Unternehmensgruppe nicht nur mit der Übermittlung personenbezogener Daten an externe Empfänger befassen muss, sondern auch die gruppeninternen Verarbeitungstätigkeiten zur Herausforderung werden können.
Da das europäische und deutsche Datenschutzrecht grundsätzlich kein Konzernprivileg kennt, unterliegen derartige Übermittlungen den gleichen Anforderungen, wie Übermittlungen an externe Stellen: Auch hier bedarf es insbesondere jeweils einer Rechtsgrundlage, der Beschränkung der Übermittlung auf das zur Zweckerreichung erforderliche Maß und der Erfüllung der Transparenzanforderungen. Ebenso sind auch im “Innenverhältnis” der Unternehmensgruppe die erforderlichen Datenschutzvereinbarungen zu schließen. Vereinbarungen zur Auftragsverarbeitung, zur gemeinsamen Verantwortung und – soweit ein Transfer in Drittländer ohne Angemessenheitsbeschluss vorliegt – der Standardvertragsklauseln bedarf es daher auch zwischen Konzernunternehmen.
In Anbetracht des Risikos bei Nichtbeachtung der obenstehend skizzierten Anforderungen, ist eine Kontaktaufnahme mit dem Datenschutzteam und/oder dem Datenschutzbeauftragtenin Sachen der konzernintern Datenübermittlung dringend empfohlen. Oft kann damit das Risiko deutlich minimiert werden.
Ferner ist bei konzerninternen Datenübermittlungen auf Grundlage des berechtigten Interesses zwingend eine dokumentierte Abwägung der Interessen des Konzerns gegenüber den Interessen der betroffenen Person vorzunehmen.
Dabei gilt:
- Der verfolgte Zweck muss grundsätzlich ein berechtigtes Interesse darstellen. Darunter fällt jedes wirtschaftliche, rechtliche, tatsächliche oder auch ideelle Interesse.
- Das eingesetzte Mittel darf nicht außer Verhältnis zum Eingriff in die Rechte der Betroffenen stehen. Eine Weitergabe personenbezogener Daten, in nach Möglichkeit, anonymisierter Form ist daher stets zu bevorzugen.
- In der zu erstellenden Interessensabwägung sind die Interessen des Konzerns, den Interessen der betroffenen Person gegenüberzustellen. Besondere Beachtung kommt dabei Erwägungsgrund 47 DS-GVO zu. So ist zu berücksichtigen, ob die „betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird“. Der Thematik der Information der betroffenen Person kommt damit besondere Bedeutung zu, da hierdurch die vernünftigen Erwartungen der betroffenen Personen gesteuert werden können.