Haufe Online Redaktion
Haufe Online Redaktion
Nicht notwendige Datenübermittlung innerhalb eines Konzerns
Bild: pixabay.com Für einen konzernweiten Gehaltsvergleich genügen anonymisierte Daten

Das LAG Hamm hat einer Arbeitnehmerin einen Anspruch auf Unterlassung sowie immateriellen Schadensersatz wegen unzulässiger Weitergabe ihrer persönlichen Daten innerhalb eines Konzernverbundes zugesprochen. Die Entscheidung enthält wichtige Grundsätze zur Übermittlung von Arbeitnehmerdaten innerhalb eines Konzerns.

Gegenstand des vom LAG entschiedenen Rechtsstreits waren datenschutzrechtliche Unterlassungs- und Schadensersatzansprüche einer Arbeitnehmerin im Krankenhausbereich. Die Beklagte verfügt über eine eigene Personalabteilung. Die Klägerin war seit dem 1.10.2018 in einer Klinik der beklagten Krankenhausträgerin tätig. Im Anstellungsvertrag war vereinbart, dass die Beklagte die personenbezogenen Daten der Klägerin für Zwecke des Beschäftigungsverhältnisses speichern, verarbeiten und nutzen darf.

Nicht genehmigte Datenübermittlung im Konzernverbund

Die Beklagte betreibt Krankenhäuser an unterschiedlichen Orten und ist deutschlandweit an weiteren Klinikgesellschaften – teilweise mehrheitlich – beteiligt. Sie ist u.a. Alleingesellschafterin einer Klinik-GmbH „AKG“. Bei dieser besteht ein Referat für „verbundweites Personalmanagement“. Im Rahmen einer von dort kommenden Abfrage übermittelte die Beklagte der AKG eine Übersicht der Mitarbeiter mit einem Bruttojahresgehalt von mehr als 80.000 EUR. Diese Übermittlung enthielt Personalnummer, Name und Vorname, Dienstart sowie weitere personenbezogene Daten der Klägerin.

Arbeitnehmerin klagt auf Unterlassung und Schadensersatz

Hiergegen klagte die Arbeitnehmerin auf Unterlassung sowie auf Schadensersatz. Die Klage war sowohl in erster als auch in zweiter Instanz erfolgreich. Beide Gerichte stützen den geltend gemachten Unterlassungsanspruch auf eine entsprechende Anwendung des § 1004 Abs. 1 BGB in Verbindung mit § 823 Abs. 2 Satz 1 BGB. Danach kann derjenige, der gegen ein den Schutz eines anderen bezweckenden Gesetzes verstößt, auf Unterlassung in Anspruch genommen werden. Das LAG bewertete die Vorschriften der Art. 5 Abs. 1a Var. 1 DSGVO sowie Art. 6 Abs. 1 DSGVO als Schutzgesetze im Sinne des § 823 Abs. 2 Satz 1 BGB. Gegen diese datenschutzrechtlichen Bestimmungen hatte die Beklagte nach Auffassung der Kammer verstoßen.

Voraussetzungen zulässiger Datenverarbeitung

Gemäß Art. 5 Abs. 1a Var. 1 DSGVO dürfen personenbezogene Daten nur auf rechtmäßige Weise für festgelegte eindeutige und legitime Zwecke erhoben werden. Gemäß Art. 6 Abs. 1 DSGVO ist die Verarbeitung der Daten rechtmäßig, wenn

  • die betroffene Person ihre Einwilligung zu der Verarbeitung gegeben hat oder
  • die Verarbeitung für die Erfüllung eines Vertrages oder einer rechtlichen Verpflichtung erforderlich ist oder
  • erforderlich ist, um lebenswichtige Interessen der von der Übermittlung Betroffenen oder einer anderen Person zu schützen oder
  • die Verarbeitung für die Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich ist oder
  • die Verarbeitung nach Gesamtabwägung aller Umstände des Einzelfalls zur Wahrnehmung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist oder
  • die Datenverarbeitung gemäß § 26 BDSG zur Durchführung des Arbeitsverhältnisses erforderlich war.

Konzerninterne Datenübermittlung für das Beschäftigungsverhältnis nicht erforderlich

Nach Bewertung des LAG war im vorliegenden Fall keine dieser Voraussetzungen erfüllt, denn weder hatte die Klägerin in die Weitergabe der Daten eingewilligt, noch war eine der übrigen Voraussetzungen gegeben. Auch zur Durchführung des Beschäftigungsverhältnisses war die Datenverarbeitung nach der Bewertung des LAG nicht erforderlich, denn die AKG, an die die Daten weitergegeben wurde, ist weder eine Personalabteilung noch eine personalverwaltende Stelle der Beklagten (LAG Baden-Württemberg, Urteil v. 25.2.2021,17 Sa 37/20).

Datenübermittlung im Konzernverbund in Ausnahmefällen zulässig

Bei der Bewertung der berechtigten Interessen ging das LAG auch auf die Erwägungsgründe zur DSGVO ein. Nach Erwägungsgrund 48 zur DSGVO können Verantwortliche, die Teil einer Unternehmensgruppe sind, ein berechtigtes Interesse an der Übermittlung personenbezogener Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke haben. Ob solche berechtigten Interessen zur konzerninternen Datenübermittlung vorliegen, ist nach der Rechtsprechung des EuGH nach den konkreten Umständen des Einzelfalls zu prüfen (EuGH, Urteil v. 19.10.2016, C-582/14).

Einheitliche Vergütungspraxis kann berechtigtes Interesse begründen

Im Rahmen dieser Abwägung erkannte das LAG ein berechtigtes Interesse der Beklagten an der Übermittlung der Gehaltsdaten der Klägerin an, um einen konzernweiten Vergleich der Gehälter und der sonstigen Entgeltbestandteile der im Konzern beschäftigten Mitarbeiter zu ermöglichen. Das Ziel, die Vergütungspraxis u.a. für außertarifliche Angestellte mit hohen Gehältern konzernweit einheitlich und widerspruchsfrei zu gestalten, sei ein berechtigtes wirtschaftliches Interesse innerhalb der Gesamtkonzernverwaltung.

Anonymisierte Datenübermittlung hätte ausgereicht

Nach Auffassung des LAG rechtfertigte dieses berechtigte Interesse aber nicht die Übermittlung der Daten in personalisierter Form. Eine Datenverarbeitung nach Art. 6 Abs. 1f DSGVO sei nur erforderlich, wenn kein milderes, gleich effektives Mittel zur Verfügung stehe, um den berechtigten Interessen des Verantwortlichen gerecht zu werden. Hierbei sei auch die Wertentscheidung des Art. 8 Abs. 1 der Grundrechtecharta der Europäischen Union zu berücksichtigen, wonach der Anspruch auf Schutz der personenbezogenen Daten innerhalb der EU ein hochrangiger Grundwert sei. Zum Abgleich der Konzerngehälter hätte nach der Einschätzung des Gerichts als milderes Mittel eine Datenübermittlung in anonymisierter Form ausgereicht. Zur Beurteilung des Gehaltsgefüges innerhalb des Konzerns sei ein Personenbezug nicht erforderlich gewesen.

Diverse weitere Datenschutzziele verletzt

Schließlich beanstandete das LAG, dass die Klägerin über die beabsichtigte Übermittlung ihrer Daten gemäß Art. 13 Abs. 3 DSGVO nicht vorab unterrichtet und ihr keine Gelegenheit zur Stellungnahme eingeräumt wurde. Schließlich sei mit der Übermittlung innerhalb des Konzerns der nach dem Arbeitsvertrag bestehende Zweck der Datenspeicherung verändert worden. Der beabsichtigte konzernweite Vergleich der Gehälter sei nach dem Arbeitsvertrag als Speicherungszweck nicht vorgesehen. Schließlich widersprach die Datenübermittlung nach der Bewertung des LAG auch dem Datenschutzziel der Datenminimierung gemäß Art. 5 Abs. 1c DSGVO.

Anspruch auf Unterlassung und immateriellen Schadensersatz

Vor diesem Hintergrund hat die Klägerin nach Auffassung des LAG nicht nur Anspruch auf Unterlassung solcher Datenübermittlungen in Zukunft, sondern auch Anspruch auf Ersatz des immateriellen Schadens gemäß Art. 82 Abs. 1 DSGVO. Dieser Anspruch auf immateriellen Schadensersatz erfordert nach Auslegung des LAG keine weitere Darlegung des Betroffenen hinsichtlich der Schadenshöhe. Bereits die Verletzung der DSGVO als solche führe zu einem auszugleichenden immateriellen Schaden (BAG, Urteil v. 26.8.2021, 8 AZR 253/20). Die Höhe bewertete das Gericht mit 2.000 EUR als angemessen.

Klage insgesamt erfolgreich

Damit hatten sowohl die Unterlassungsklage als auch das Schadensersatzbegehren der Klägerin in vollem Umfang Erfolg.

(LAG Hamm, Urteil v. 14.12.2021, 17 Sa 1185/20)

Schlagworte zum Thema:  Datenschutz-Grundverordnung, Datenschutz, Konzern, Unternehmen
Meistgelesene Beiträge
Neueste Beiträge
Zum Haufe Shop
Zum Thema Weitere Rechtsgebiete
Datenschutz-Grundverordnung: Verantwortlichkeit und Pflichten des Verantwortlichen nach der DSGVO
DSGVO_Buisness Mann zeigt auf Schriftzug DSGVO mit Schloss

Bei der Datenverarbeitung bedienen sich Unternehmen regelmäßig der Unterstützung durch verschiedene Dienstleister. Damit stellt sich in Praxis vielfach die Frage, welche der beteiligten Akteure welche Datenschutzvorgaben zu beachten haben. 
Beschäftigtendatenschutz: Auftrag für den Gesetzgeber
Videochat
Auftrag für den Gesetzgeber
digital

In die immer wieder aufkeimende Diskussion über ein Beschäftigtendatenschutzgesetz ist erneut Bewegung gekommen. Seit einer Entscheidung des Europäischen Gerichtshofs (EuGH) Ende März 2023 bestehen erhebliche Zweifel, ob der deutsche Arbeit­­nehmer­datenschutz mit Europarecht in Einklang gebracht werden kann.  
Cloud-Server in Drittstaaten: Zugriffsrisiko stellt keine unzulässige Datenübermittlung in ein Drittland dar
Digitale Transformation Schrift auf Daten

Das Zugriffsrisiko bei der Übermittlung von Daten in Drittstaaten ist immer wieder Gegenstand rechtlicher Prüfungen und Auseinandersetzungen.
Rechte und Pflichten: Praxishandbuch KI und Recht
Praxishandbuch KI und Recht

Das Buch führt in die rechtlichen Grundlagen im Zusammenhang mit dem Einsatz von KI ein. Insbesondere werden die neue europäische KI-Verordnung (AI Act) und die sich daraus ergebenden Rechte und Pflichten behandelt. Auch Haftungsfragen und für die datenschutzkonforme KI-Nutzung werden dargestellt. 
LAG Hamm 17 Sa 1185/20
LAG Hamm 17 Sa 1185/20

  Entscheidungsstichwort (Thema) Rechtmäßigkeit der Datenverarbeitung nach Art. 5 und 6 DSGVO als Schutzgesetze nach Art. 823 Abs. 2 BGB. Erforderlichkeit der Verarbeitung personenbezogener Daten nach Art. 6 DSGVO. Spannungsverhältnis zwischen der Erhebung ...

4 Wochen testen