Wir starten heute eine kleine Serie zum Thema Beschäftigtendatenschutz. Wir werden in unregelmäßigen Abständen in unserem Blog einen kurzen Überblick über aktuelle Entwicklungen in der Rechtsprechung zum Beschäftigtendatenschutz geben.
- LAG Nürnberg, Urteil vom 25. Januar 2023 (4 Sa 201/22): Die Verletzung der Auskunftspflicht nach Art. 15 DSGVO begründet keine Schadensersatzpflicht nach Art. 82 Abs. 1 DSGVO.
Gemäß Art. 82 Abs. 1 DSGVO steht jeder Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, ein Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter zu. Der Schadenersatzanspruch sei jedoch auf Verstöße gegen eine rechtswidrige Datenverarbeitung im Sinne des Art. 4 Nr. 2 DSGVO begrenzt. Verspätete, falsche oder gar gänzlich unterbliebene Auskünfte an eine Person seien damit nicht haftungsauslösend.
Hinweis: Das Landgericht Memmingen hat dogmatisch ähnlich zu einer Verletzung von Informationspflichten entschieden (Urteil vom 9. März 2023 (35 O 1036/22)). Verstöße gegen Informationspflichten begründen keinen Anspruch auf Schadensersatz aus Art. 82 DSGVO. Der Verantwortliche hafte nur für einen Schaden, der durch eine nicht der DSGVO entsprechende Verarbeitung (von Daten) entstanden ist (Art. 82 Abs. 2 DSGVO). Verarbeitung in diesem Sinne sind nur die in Art. 4 Nr. 2 DSGVO definierten Handlungen. Die Verletzung der Informationspflichten sei keine solche Verarbeitung von Daten.
- VG Hannover, Urteil vom 8. Februar 2023 (10 A 6199/20): Die Anordnung des LfD Niedersachsen gegenüber einem Onlineversandhändler die „ununterbrochene jeweils aktuelle und minutengenaue Erhebung und Verwendung bestimmter Beschäftigtendaten“ zu unterlassen, ist rechtswidrig.
Ein Onlineversandhändler betreibt ein Logistikzentrum, in dem ununterbrochen aktuelle und minutengenaue Quantitäts- und Qualitätsdaten ihrer Beschäftigten erhoben und zur Erstellung von Quantitätsleistungs- und Qualitätsleistungsprofilen sowie für Feedbackgespräche und Prozessanalysen genutzt werden.
Nach dem VG Hannover kann diese Datenverarbeitung auf Art. 88 Abs. 1 DSGVO i. V. m. § 26 Abs. 1 S. 1 BDSG, alternativ auch auf Art. 6 Abs. 1 lit. f DSGVO, gestützt werden und genügt den datenschutzrechtlichen Anforderungen. Der Versandhändler habe ein berechtigtes, billigenswertes und schützenswertes Interesse an der Datenverarbeitung – namentlich die Steuerung der Logistikprozesse, die Steuerung der individuellen Qualifizierung von Mitarbeitenden sowie die Schaffung objektiver Bewertungsgrundlagen für individuelles Feedback und Personalentscheidungen. Die vorgenommene Datenverarbeitung sei auch geeignet und erforderlich, um diese Interessen zu wahren. Der mit der Datenverarbeitung verbundene Eingriff in das Recht auf informationelle Selbstbestimmung der Mitarbeitenden nach Art. 8 GRCh und Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG stehe nicht außer Verhältnis zu den – mit der Datenverarbeitung verfolgten – schützenswerten Interessen des Versandhändlers, sodass die Datenverarbeitung insgesamt angemessen bzw. verhältnismäßig im engeren Sinne sei.
- EuGH, Urteil vom 9. Februar 2023 (C-560/21): Nationale Regelungen zur Abberufung eines Datenschutzbeauftragten, die strengere Maßgaben vorweisen als die DSGVO, sind grundsätzlich zulässig.
Es stehe jedem Mitgliedstaat frei, in Ausübung seiner vorbehaltenen Zuständigkeit besondere, strengere Vorschriften für die Abberufung eines Datenschutzbeauftragten vorzusehen, sofern diese mit dem Unionsrecht und insbesondere mit den Bestimmungen der DSGVO, vor allem Art. 38 Abs. 3 S. 2 DSGVO, vereinbar sind. Art. 38 Abs. 3 S. 2 DSGVO stehe einer nationalen Regelung wie § 6 Abs. 4 S. 1 BDSG, nach der ein bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigter Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden kann, auch wenn die Abberufung nicht mit der Erfüllung seiner Aufgaben zusammenhängt, nicht grundsätzlich entgegen, sofern diese Regelung die Verwirklichung der Ziele der DSGVO nicht beeinträchtigt.
- ArbG Oldenburg, Urteil vom 9. März 2023 (3 Ca 150/21): Ein Unternehmen, das einem Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO eines ehemaligen Arbeitnehmers nicht nachgekommen ist, wurde verurteilt, 10.000 Euro immateriellen Schadenersatz an diesen zu zahlen.
Die betroffene Person machte gegenüber ihrem ehemaligen Arbeitgeber einen Auskunftsanspruch nach Art. 15 DSGVO geltend, auf den das Unternehmen über 20 Monate nicht reagierte. Daraufhin erhob der Betroffene Klage auf Erteilung einer Auskunft nach Art. 15 DSGVO sowie Schadensersatz nach Art. 82 DSGVO. Erst im Rahmen des Gerichtsverfahrens erteilte die Beklagte einzelne Auskünfte.
Das Arbeitsgericht Oldenburg verurteilte die Beklagte zur vollständigen Auskunftserteilung und zur Zahlung eines Schmerzensgeldes in Höhe von 10.000 Euro an den Kläger. Bereits die Verletzung der DSGVO selbst führe zu einem auszugleichenden immateriellen Schaden, eine nähere Darlegung des Schadens sei nicht erforderlich.
Hinweis: Interessant ist, dass das LAG Nürnberg (Urteil vom 25. Januar 2023 (4 Sa 201/22)) einen Anspruch auf Schadensersatz bei Verletzung der Auskunftspflicht abgelehnt hat, da der Schadenersatzanspruch nach Art. 82 DSGVO auf Verstöße gegen eine rechtswidrige Datenverarbeitung im Sinne des Art. 4 Nr. 2 DSGVO begrenzt sei. Verspätete, falsche oder gar gänzlich unterbliebene Auskünfte an eine Person seien damit nicht haftungsauslösend (s.o.).
- OLG Dresden, Urteil vom 14. März 2023 (4 U 1377/22): Einer juristischen Person stehen keine datenschutzrechtliche Unterlassungs- und Beseitigungsansprüche wegen Verwendung von Daten aus Personalakten ihrer Mitarbeiter zu. Ferner stellen Urlaubslisten eines Unternehmens keine Geschäftsgeheimnisse dar.
Nach dem eindeutigen Wortlaut von Art. 4 Nr. 1 DSGVO könnten sich juristische Personen nicht auf die in der DSGVO enthaltenen Ansprüche berufen. Der Schutz der dort genannten „personenbezogenen Daten“ beträfe nur Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (“betroffene Person“) beziehen.
Ansprüche auf Unterlassung, Auskunft und Herausgabe würden auch nicht aus den §§ 6, 7, 8 GeschGehG folgen, da Urlaubslisten eines Unternehmens kein Geschäftsgeheimnis im Sinne von § 2 Nr. 1 GeschGehG darstellen würden. Sie enthielten keinen wirtschaftlichen Wert im Sinne von § 2 Nr. 1a GeschGehG.
- EuGH, Urteil vom 30. März 2023 (C-34/21): Eine nationale Rechtsvorschrift kann keine „spezifischere Vorschrift“ im Sinne von Art. 88 Abs. 1 DSGVO sein, wenn sie nicht die Vorgaben von Abs. 2 dieses Artikels erfüllt. Nationale Rechtsvorschriften zum Beschäftigtendatenschutz müssen unangewendet bleiben, wenn sie nicht die in Art. 88 Abs. 1 und 2 vorgegebenen Voraussetzungen und Grenzen beachten, es sei denn, sie stellen eine Rechtsgrundlage im Sinne von Art. 6 Abs. 3 DSGVO dar, die den Anforderungen dieser Verordnung genügt.
Eine wichtige Entscheidung! Hat der EuGH § 26 BDSG für unanwendbar erklärt?
Hintergrund des Vorabentscheidungsverfahrens war die Frage, inwiefern § 23 Hessisches Datenschutz- und Informationsfreiheitsgesetz (HDSIG) („Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses“) Grundlage für die Durchführung von Videokonferenzen von Lehrenden sein kann.
Der EuGH kam zu dem Ergebnis, dass Art. 88 DSGVO dahin auszulegen sei, dass eine nationale Rechtsvorschrift keine „spezifischere Vorschrift“ im Sinne von Abs. 1 dieses Artikels sein kann, wenn sie nicht die Vorgaben von Abs. 2 dieses Artikels erfüllt. Art. 88 Abs. 1 und 2 DSGVO sei dahin auszulegen, dass nationale Rechtsvorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten von Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext unangewendet bleiben müssen, wenn sie nicht die in ebendiesem Art. 88 Abs. 1 und 2 vorgegebenen Voraussetzungen und Grenzen beachten, es sei denn, sie stellen eine Rechtsgrundlage im Sinne von Art. 6 Abs. 3 DSGVO dar, die den Anforderungen dieser Verordnung genügt. Nach Feststellungen des EuGH scheinen Bestimmungen wie § 23 Abs. 1 HDSIG und § 86 Abs. 4 HBG, die die Verarbeitung personenbezogener Beschäftigtendaten davon abhängig machen, dass diese zu bestimmten Zwecken im Zusammenhang mit der Durchführung eines Beschäftigungs- bzw. Dienstverhältnisses erforderlich sein muss, die bereits in Art. 6 Abs. 1 lit. b DSGVO aufgestellte Bedingung für die allgemeine Rechtmäßigkeit der Verarbeitung zu wiederholen, ohne eine spezifischere Vorschrift im Sinne von Art. 88 Abs. 1 DSGVO hinzuzufügen. Solche Bestimmungen scheinen demnach keinen passenden Regelungsgehalt, der sich von den allgemeinen Regeln der DSGVO unterscheidet, zu haben. Sollte das vorlegende Gericht zu der Feststellung gelangen, dass bei den im Ausgangsverfahren in Rede stehenden Bestimmungen die in Art. 88 DSGVO vorgegebenen Voraussetzungen und Grenzen nicht beachtet sind, hätte es diese Bestimmungen grundsätzlich unangewendet zu lassen.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat zu dem Urteil einen Beitrag veröffentlicht, den Sie hier abrufen können. Er geht davon aus, dass § 23 HDSIG keine spezifischere Vorschrift im Sinne des Art. 88 Abs. 1 und 2 DSGVO sei und dessen Anforderungen sowie denen der DSGVO nicht genüge. Dies habe weitreichende Auswirkungen, da daraus folge, dass auch § 26 BDSG, die Parallelvorschrift zu § 23 HDSIG im Bundesrecht für Beschäftigtendaten, nicht den Anforderungen des Art. 88 Abs. 1 und 2 DSGVO genüge. Dies hätte zur Folge, dass Verarbeitungsvorgänge, die bisher auf § 26 BDSG gestützt wurden, nunmehr auf anderen Rechtsgrundlagen gegründet werden müssten. Der HmbBfDI weist jedoch ferner darauf hin, das weitreichende Datenverarbeitungen, die bisher auf § 26 BDSG gestützt wurden, zum jetzigen Zeitpunkt nicht auszusetzen oder zu beenden seien, da voraussichtlich jeweils alternative Rechtsgrundlagen gefunden werden könnten. Dies bedürfe jedoch einer Prüfung der datenverarbeitenden Stelle.