Nicht notwendige Datenübermittlung innerhalb eines Konzerns
Gegenstand des vom LAG entschiedenen Rechtsstreits waren datenschutzrechtliche Unterlassungs- und Schadensersatzansprüche einer Arbeitnehmerin im Krankenhausbereich. Die Beklagte verfügt über eine eigene Personalabteilung. Die Klägerin war seit dem 1.10.2018 in einer Klinik der beklagten Krankenhausträgerin tätig. Im Anstellungsvertrag war vereinbart, dass die Beklagte die personenbezogenen Daten der Klägerin für Zwecke des Beschäftigungsverhältnisses speichern, verarbeiten und nutzen darf.
Nicht genehmigte Datenübermittlung im Konzernverbund
Die Beklagte betreibt Krankenhäuser an unterschiedlichen Orten und ist deutschlandweit an weiteren Klinikgesellschaften – teilweise mehrheitlich – beteiligt. Sie ist u.a. Alleingesellschafterin einer Klinik-GmbH „AKG“. Bei dieser besteht ein Referat für „verbundweites Personalmanagement“. Im Rahmen einer von dort kommenden Abfrage übermittelte die Beklagte der AKG eine Übersicht der Mitarbeiter mit einem Bruttojahresgehalt von mehr als 80.000 EUR. Diese Übermittlung enthielt Personalnummer, Name und Vorname, Dienstart sowie weitere personenbezogene Daten der Klägerin.
Arbeitnehmerin klagt auf Unterlassung und Schadensersatz
Hiergegen klagte die Arbeitnehmerin auf Unterlassung sowie auf Schadensersatz. Die Klage war sowohl in erster als auch in zweiter Instanz erfolgreich. Beide Gerichte stützen den geltend gemachten Unterlassungsanspruch auf eine entsprechende Anwendung des § 1004 Abs. 1 BGB in Verbindung mit § 823 Abs. 2 Satz 1 BGB. Danach kann derjenige, der gegen ein den Schutz eines anderen bezweckenden Gesetzes verstößt, auf Unterlassung in Anspruch genommen werden. Das LAG bewertete die Vorschriften der Art. 5 Abs. 1a Var. 1 DSGVO sowie Art. 6 Abs. 1 DSGVO als Schutzgesetze im Sinne des § 823 Abs. 2 Satz 1 BGB. Gegen diese datenschutzrechtlichen Bestimmungen hatte die Beklagte nach Auffassung der Kammer verstoßen.
Voraussetzungen zulässiger Datenverarbeitung
Gemäß Art. 5 Abs. 1a Var. 1 DSGVO dürfen personenbezogene Daten nur auf rechtmäßige Weise für festgelegte eindeutige und legitime Zwecke erhoben werden. Gemäß Art. 6 Abs. 1 DSGVO ist die Verarbeitung der Daten rechtmäßig, wenn
- die betroffene Person ihre Einwilligung zu der Verarbeitung gegeben hat oder
- die Verarbeitung für die Erfüllung eines Vertrages oder einer rechtlichen Verpflichtung erforderlich ist oder
- erforderlich ist, um lebenswichtige Interessen der von der Übermittlung Betroffenen oder einer anderen Person zu schützen oder
- die Verarbeitung für die Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich ist oder
- die Verarbeitung nach Gesamtabwägung aller Umstände des Einzelfalls zur Wahrnehmung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist oder
- die Datenverarbeitung gemäß § 26 BDSG zur Durchführung des Arbeitsverhältnisses erforderlich war.
Konzerninterne Datenübermittlung für das Beschäftigungsverhältnis nicht erforderlich
Nach Bewertung des LAG war im vorliegenden Fall keine dieser Voraussetzungen erfüllt, denn weder hatte die Klägerin in die Weitergabe der Daten eingewilligt, noch war eine der übrigen Voraussetzungen gegeben. Auch zur Durchführung des Beschäftigungsverhältnisses war die Datenverarbeitung nach der Bewertung des LAG nicht erforderlich, denn die AKG, an die die Daten weitergegeben wurde, ist weder eine Personalabteilung noch eine personalverwaltende Stelle der Beklagten (LAG Baden-Württemberg, Urteil v. 25.2.2021,17 Sa 37/20).
Datenübermittlung im Konzernverbund in Ausnahmefällen zulässig
Bei der Bewertung der berechtigten Interessen ging das LAG auch auf die Erwägungsgründe zur DSGVO ein. Nach Erwägungsgrund 48 zur DSGVO können Verantwortliche, die Teil einer Unternehmensgruppe sind, ein berechtigtes Interesse an der Übermittlung personenbezogener Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke haben. Ob solche berechtigten Interessen zur konzerninternen Datenübermittlung vorliegen, ist nach der Rechtsprechung des EuGH nach den konkreten Umständen des Einzelfalls zu prüfen (EuGH, Urteil v. 19.10.2016, C-582/14).
Einheitliche Vergütungspraxis kann berechtigtes Interesse begründen
Im Rahmen dieser Abwägung erkannte das LAG ein berechtigtes Interesse der Beklagten an der Übermittlung der Gehaltsdaten der Klägerin an, um einen konzernweiten Vergleich der Gehälter und der sonstigen Entgeltbestandteile der im Konzern beschäftigten Mitarbeiter zu ermöglichen. Das Ziel, die Vergütungspraxis u.a. für außertarifliche Angestellte mit hohen Gehältern konzernweit einheitlich und widerspruchsfrei zu gestalten, sei ein berechtigtes wirtschaftliches Interesse innerhalb der Gesamtkonzernverwaltung.
Anonymisierte Datenübermittlung hätte ausgereicht
Nach Auffassung des LAG rechtfertigte dieses berechtigte Interesse aber nicht die Übermittlung der Daten in personalisierter Form. Eine Datenverarbeitung nach Art. 6 Abs. 1f DSGVO sei nur erforderlich, wenn kein milderes, gleich effektives Mittel zur Verfügung stehe, um den berechtigten Interessen des Verantwortlichen gerecht zu werden. Hierbei sei auch die Wertentscheidung des Art. 8 Abs. 1 der Grundrechtecharta der Europäischen Union zu berücksichtigen, wonach der Anspruch auf Schutz der personenbezogenen Daten innerhalb der EU ein hochrangiger Grundwert sei. Zum Abgleich der Konzerngehälter hätte nach der Einschätzung des Gerichts als milderes Mittel eine Datenübermittlung in anonymisierter Form ausgereicht. Zur Beurteilung des Gehaltsgefüges innerhalb des Konzerns sei ein Personenbezug nicht erforderlich gewesen.
Diverse weitere Datenschutzziele verletzt
Schließlich beanstandete das LAG, dass die Klägerin über die beabsichtigte Übermittlung ihrer Daten gemäß Art. 13 Abs. 3 DSGVO nicht vorab unterrichtet und ihr keine Gelegenheit zur Stellungnahme eingeräumt wurde. Schließlich sei mit der Übermittlung innerhalb des Konzerns der nach dem Arbeitsvertrag bestehende Zweck der Datenspeicherung verändert worden. Der beabsichtigte konzernweite Vergleich der Gehälter sei nach dem Arbeitsvertrag als Speicherungszweck nicht vorgesehen. Schließlich widersprach die Datenübermittlung nach der Bewertung des LAG auch dem Datenschutzziel der Datenminimierung gemäß Art. 5 Abs. 1c DSGVO.
Anspruch auf Unterlassung und immateriellen Schadensersatz
Vor diesem Hintergrund hat die Klägerin nach Auffassung des LAG nicht nur Anspruch auf Unterlassung solcher Datenübermittlungen in Zukunft, sondern auch Anspruch auf Ersatz des immateriellen Schadens gemäß Art. 82 Abs. 1 DSGVO. Dieser Anspruch auf immateriellen Schadensersatz erfordert nach Auslegung des LAG keine weitere Darlegung des Betroffenen hinsichtlich der Schadenshöhe. Bereits die Verletzung der DSGVO als solche führe zu einem auszugleichenden immateriellen Schaden (BAG, Urteil v. 26.8.2021, 8 AZR 253/20). Die Höhe bewertete das Gericht mit 2.000 EUR als angemessen.
Klage insgesamt erfolgreich
Damit hatten sowohl die Unterlassungsklage als auch das Schadensersatzbegehren der Klägerin in vollem Umfang Erfolg.
(LAG Hamm, Urteil v. 14.12.2021, 17 Sa 1185/20)
-
Italienische Bußgeldwelle trifft deutsche Autofahrer
2.943
-
Wie kann die Verjährung verhindert werden?
2.041
-
Klagerücknahme oder Erledigungserklärung?
1.654
-
Wohnrecht auf Lebenszeit trotz Umzugs ins Pflegeheim?
1.5782
-
Diese Compliance-Regelungen gelten für Geschenke und Einladungen
1.381
-
Brief- und Fernmelde-/ Kommunikationsgeheimnis: Was ist erlaubt, was strafbar?
1.380
-
Gerichtliche Ladungen richtig lesen und verstehen
1.340
-
Patronatserklärungen: Wirkung, Varianten und praktische Bedeutung
1.333
-
Überbau und Konsequenzen – wenn die Grenze zum Nachbargrundstück ignoriert wurde
1.169
-
Wann muss eine öffentliche Ausschreibung erfolgen?
1.110
-
Betriebskostenabrechnung: Einsicht bei weit entferntem Vermieter?
18.12.2024
-
Rechtsunsicherheit für die Kundenanlage
17.12.2024
-
Katzenhalterin haftet für nicht von ihr veranlasste Notfallbehandlung
16.12.2024
-
Die Verordnung über das Verbot von Produkten, die in Zwangsarbeit hergestellt wurden
11.12.2024
-
Änderungen des Energiewirtschaftsrechts – Was kommt noch nach dem Ampel-Aus?
10.12.2024
-
Anteil der Zahlungen von Cyber-Versicherungen wegen Datenschutzverstößen steigt stetig
06.12.2024
-
Sparkasse muss Kontogebühren zurückzahlen
05.12.2024
-
Das Scraping-Urteil des BGH zum Facebook-Datenleck
04.12.2024
-
BGH begrenzt Zulässigkeit von Skonti auf verschreibungspflichtige Arzneimittel
03.12.2024
-
Kündigung von Mieter wegen Stromdiebstahls fürs Elektroauto?
02.12.2024