Entscheidungsstichwort (Thema)
Datenverarbeitung im Arbeitsverhältnis. teilweise Aufhebung eines Vorlagebeschlusses
Leitsatz (redaktionell)
Die Vorlagefragen 4 bis 6 des Vorlagebeschlusses vom 22.9.20233 sind geklärt; der Vorlagebeschluss wird insoweit aufgehoben.
Normenkette
EUV 2016/679 Art. 82 Abs. 1; DSGVO Art. 88; BDSG § 26 Abs. 4
Verfahrensgang
Tenor
Der Beschluss des Bundesarbeitsgerichts vom 22. September 2022 - 8 AZR 209/21 (A) - wird in Bezug auf die Vorlagefragen 4 bis 6 aufgehoben. Im Übrigen bleibt der Beschluss aufrechterhalten.
Gründe
Rz. 1
I. Die Parteien streiten darüber, ob die Beklagte verpflichtet ist, dem Kläger wegen einer Verletzung datenschutzrechtlicher Bestimmungen im Arbeitsverhältnis immateriellen Schadensersatz nach Art. 82 DSGVO zu zahlen. Der Kläger macht zuletzt ausschließlich geltend, die Beklagte habe entgegen den Vorgaben der Datenschutz-Grundverordnung im cloudbasierten Personal-Informationsmanagementsystem „Workday“ (im Folgenden Workday) seine Daten unrechtmäßig verarbeitet. Bei der Beklagten bestand eine sogenannte „Duldungs-Betriebsvereinbarung über die Einführung von Workday“ (im Folgenden BV Duldung). Mit der BV Duldung hatte der bei der Beklagten gebildete Betriebsrat einer vorläufigen Inbetriebnahme von Workday zu Testzwecken zugestimmt. Nach der Anlage 2 zur BV Duldung dürfen Personalnummer, Nachname, Vorname, Telefonnummer, Eintrittsdatum, Konzern Eintrittsdatum, Arbeitsort, Firma (K/Dental), Arbeitsort, Firma, geschäftliche Telefonnummer und geschäftliche E-Mail-Adresse an Workday übermittelt werden. Die Beklagte übermittelte darüber hinaus weitere personenbezogene Daten des Klägers an Workday (Gehaltsinformationen, die private Wohnanschrift, Geburtsdatum, Alter, Familienstand, die Sozialversicherungsnummer und seine Steuer-ID).
Rz. 2
Das Arbeitsgericht hat die Klage auf immateriellen Schadensersatz abgewiesen. Das Landesarbeitsgericht hat die Berufung des Klägers zurückgewiesen. Der Senat hat den Gerichtshof der Europäischen Union (im Folgenden Gerichtshof) um eine Vorabentscheidung ersucht und insgesamt sechs Fragen zur Auslegung von Art. 88 Abs. 1 und Art. 82 Abs. 1 DSGVO formuliert. In Bezug auf deren Inhalt wird auf den -Vorlagebeschluss vom 22. September 2022 (- 8 AZR 209/21 (A) -) verwiesen. Ferner hat der Senat die Aussetzung des Revisionsverfahrens bis zur Entscheidung des Gerichtshofs angeordnet.
Rz. 3
II. Mit Schreiben vom 25. Januar 2024 hat der Gerichtshof angefragt, ob das Vorabentscheidungsersuchen mit Blick auf die Urteile des Gerichtshofs vom 4. Mai 2023 (- C-300/21 - [Österreichische Post]), vom 14. Dezember 2023 (- C-340/21 - [Natsionalna agentsia za prihodite] und - C-456/22 - [Gemeinde Ummendorf]), vom 21. Dezember 2023 (- C-667/21 - [Krankenversicherung Nordrhein]) und vom 25. Januar 2024 (- C-687/21 - [MediaMarktSaturn]) ganz oder teilweise - insbesondere hinsichtlich der Vorlagefragen 4 bis 6 - aufrechterhalten wird. Der Senat hat den Parteien Gelegenheit zur Stellungnahme zu der Anfrage des Gerichtshofs eingeräumt. Auf die eingegangenen Stellungnahmen beider Parteien vom 16. Februar 2024 wird Bezug genommen.
Rz. 4
III. Der Vorlagebeschluss des Senats vom 22. September 2022 (- 8 AZR 209/21 (A) -) war mit Blick auf die vorstehend genannten zwischenzeitlich ergangenen Urteile des Gerichtshofs in Bezug auf die Vorlagefragen 4 bis 6 aufzuheben. Die Auslegung von Art. 82 Abs. 1 DSGVO ist insoweit durch die Rechtsprechung des Gerichtshofs ausreichend geklärt.
Rz. 5
1. Mit der Vorlagefrage 4 hat der Senat den Gerichtshof um Beantwortung der Frage ersucht, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass Personen ein Recht auf Ersatz des immateriellen Schadens bereits dann haben, wenn ihre personenbezogenen Daten entgegen den Vorgaben der Datenschutz-Grundverordnung verarbeitet wurden oder ob der Anspruch auf Ersatz des immateriellen Schadens darüber hinaus voraussetzt, dass die betroffene Person einen von ihr erlittenen immateriellen Schaden - von einigem Gewicht - darlegt. Der Gerichtshof hat entschieden, dass aus dem Wortlaut des Art. 82 DSGVO klar hervorgeht, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadensersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die Datenschutz-Grundverordnung und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (EuGH 25. Januar 2024 - C-687/21 - [MediaMarktSaturn] Rn. 58; 14. Dezember 2023 - C-340/21 - [Natsionalna agentsia za prihodite] Rn. 77; 4. Mai 2023 - C-300/21 - [Österreichische Post] Rn. 32). Weiter hat der Gerichtshof entschieden, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat (EuGH 14. Dezember 2023 - C-456/22 - [Gemeinde Ummendorf] Rn. 16 und - C-340/21 - [Natsionalna agentsia za prihodite] Rn. 78; 4. Mai 2023 - C-300/21 - [Österreichische Post] Rn. 51).
Rz. 6
2. Die Vorlagefrage 5 entspricht wörtlich einer Vorlagefrage im Vorabentscheidungsersuchen - C-667/21 - des Senats (BAG 26. August 2021 - 8 AZR 253/20 (A) - Rn. 35 ff., BAGE 175, 319). Der Senat hat den Gerichtshof um Beantwortung der Frage ersucht, ob Art. 82 Abs. 1 DSGVO spezial- bzw. generalpräventiven Charakter hat und ob dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden muss. Der Gerichtshof hat darauf geantwortet, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der in dieser Bestimmung vorgesehene Schadensersatzanspruch, insbesondere im Fall eines immateriellen Schadens, eine Ausgleichsfunktion hat, da eine auf diese Bestimmung gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig auszugleichen, und keine abschreckende oder Straffunktion erfüllt (EuGH 25. Januar 2024 - C-687/21 - [MediaMarktSaturn] Rn. 50; 21. Dezember 2023 - C-667/21 - [Krankenversicherung Nordrhein] Rn. 87).
Rz. 7
3. Die Vorlagefrage 6 entspricht ebenfalls wörtlich einer Vorlagefrage im Vorabentscheidungsersuchen - C-667/21 - des Senats (BAG 26. August 2021 - 8 AZR 253/20 (A) - Rn. 38 ff., BAGE 175, 319). Der Senat hat den Gerichtshof um Beantwortung der Frage ersucht, ob es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters ankommt, insbesondere, ob ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden darf. Der Gerichtshof hat darauf geantwortet, dass Art. 82 DSGVO dahin auszulegen ist, dass zum einen die Haftung des Verantwortlichen vom Vorliegen eines ihm anzulastenden Verschuldens abhängt, das vermutet wird, wenn er nicht nachweist, dass die Handlung, die den Schaden verursacht hat, ihm nicht zurechenbar ist, und dass Art. 82 DSGVO zum anderen nicht verlangt, dass der Grad dieses Verschuldens bei der Bemessung der Höhe des als Entschädigung für einen immateriellen Schaden auf der Grundlage dieser Bestimmung gewährten Schadensersatzes berücksichtigt wird (EuGH 21. Dezember 2023 - C-667/21 - [Krankenversicherung Nordrhein] Rn. 103).
Rz. 8
IV. Der Vorlagebeschluss des Senats vom 22. September 2022 (- 8 AZR 209/21 (A) -) ist in Bezug auf die Vorlagefragen 1 bis 3 aufrechtzuerhalten. Der Senat hat den Gerichtshof mit der Vorlagefrage 1 um Beantwortung der Frage ersucht, ob eine nach Art. 88 Abs. 1 DSGVO erlassene nationale Rechtsvorschrift - wie etwa § 26 Abs. 4 BDSG -, in der bestimmt ist, dass die Verarbeitung personenbezogener Daten - einschließlich besonderer Kategorien personenbezogener Daten - von Beschäftigten für Zwecke des Beschäftigungsverhältnisses auf der Grundlage von Kollektivvereinbarungen unter Beachtung von Art. 88 Abs. 2 DSGVO zulässig ist, dahin auszulegen ist, dass stets auch die sonstigen Vorgaben der Datenschutz-Grundverordnung - wie etwa Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO - einzuhalten sind. Weiter hat der Senat den Gerichtshof gefragt, ob eine nach Art. 88 Abs. 1 DSGVO erlassene nationale Rechtsvorschrift - wie § 26 Abs. 4 BDSG - dahin ausgelegt werden darf, dass den Parteien einer Kollektivvereinbarung (hier den Parteien einer Betriebsvereinbarung) bei der Beurteilung der Erforderlichkeit der Datenverarbeitung im Sinne der Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO ein Spielraum zusteht, der gerichtlich nur eingeschränkt überprüfbar ist (Vorlagefrage 2) und worauf in einem solchen Fall die gerichtliche Kontrolle beschränkt werden darf (Vorlagefrage 3). Zu diesen Vorlagefragen, die auf die Auslegung des Unionsrechts gerichtet zu verstehen sind, verhalten sich die vom Gerichtshof mit Schreiben vom 25. Januar 2024 übermittelten Urteile nicht. Es ist auch nicht ersichtlich, dass die Vorlagefragen 1 bis 3 aufgrund des Urteils des Gerichtshofs vom 30. März 2023 (- C-34/21 - [Hauptpersonalrat der Lehrerinnen und Lehrer]) oder aufgrund von anderen Entscheidungen des Gerichtshofs als bereits abschließend geklärt angesehen werden können.
Rz. 9
V. Das Revisionsverfahren bleibt insgesamt entsprechend § 148 Abs. 1 ZPO ausgesetzt.
|
Spinner |
|
Krumbiegel |
|
Pulz |
|
|
|
Kothe-Woywode |
|
Hilgenfeld |
|
|
Fundstellen
AP 2024, 0 |
NZA-RR 2024, 389 |
ZD 2024, 703 |