Datenschutz

Kein Schadenersatz bei Datenübermittlung in die USA

19. April 2021
Dollarphotoclub_15658694-e1465203821629
Quelle: Dmitriy K._Dollarphotoclub

Werden Beschäftigtendaten aus Deutschland über cloudbasierte Systeme in den USA verarbeitet und dadurch dem Zugriff der amerikanischen Ermittlungsbehörden ausgesetzt, so kann durchaus ein Schadenersatzanspruch für einzelne Beschäftigte entstehen. Der Arbeitgeber in Deutschland haftet aber nur, wenn der Schaden kausal durch einen Verstoß gegen die DSGVO entstanden ist.

Das war der Fall

Der Betriebsratsvorsitzende, der als Programmierer bei einer Zahnmedizintechnik-Firma tätig ist, verlangt Schadenersatz nach Art. 82 DSGVO. Das Unternehmen gehört zu einem Konzern mit Sitz in den USA. In 2017 (als die DSGVO also noch nicht galt!) wurde testweise das cloudbasierte Personalinformationsmanagementsystem Workday eingeführt.

Dafür wurden für eine gewisse Zeit personenbezogene Daten auf eine konzerninterne Sharepoint-Seite transferiert, um sie testweise in Workday einzuspeisen. Für die Nutzung von Workday schlossen das Unternehmen und der Betriebsrat 2017 eine sogenannte Duldungs-Betriebsvereinbarung, die den vorläufigen Betrieb des Programms gestattete.

Über die Vereinbarung hinaus übermittelte das Unternehmen andere personenbezogene Daten in die USA. Der Beschäftigte sah darin einen Verstoß gegen die DSGVO. Er verlangt Schadenersatz, da seine Daten dem permanenten Zugriff durch die US-Ermittlungsbehörden ausgesetzt gewesen seien und dadurch für ihn ein Kontrollverlust und eine „abstrakte“ Gefahr bestanden hätten.

Das sagt das Gericht

Das Gericht weist die Schadenersatzklage letztlich mangels Kausalität zurück, macht aber interessante Grundsatzausführungen:

  • Ein Schaden könnte durchaus entstanden sein.  Das Übermitteln der Daten in ein Land ohne ausreichendes Datenschutzniveau und die damit einhergehende abstrakte Gefahr des Kontrollverlusts reicht nach Meinung des LAG aus, um einen Schaden anzunehmen. Das LAG weicht hier von der Meinung der ersten Instanz ab.
  • Es liegt auch ein Verstoß gegen die DSGVO vor. Für die (fortgesetzte) Speicherung der Daten des Betroffenen in Sharepoint fehlt es aus Sicht des Gerichts an der erforderlichen Rechtsgrundlage für die Verarbeitung. § 26 Abs. 4 BDSG erlaubt zwar die Verarbeitung von Beschäftigtendaten auf Grundlage einer Kollektivvereinbarung
  • Die Verarbeitung kann hier aber weder auf § 26 Abs. 4 BDSG i.V.m. der Duldungsbetriebsvereinbarung noch auf § 26 Abs. 1 BDSG oder Art. 6 Abs. 1 DSGVO gestützt werden, da die Vereinbarung sich ausschließlich auf Workday beziehe und keine Regelung zur Nutzung von Sharepoint vorsehen würde.
  • § 26 Abs. 1 BDSG beinhaltet nach Auffassung des Gerichts keine Rechtsgrundlage für die Verarbeitung während der Testphase, kommt folglich auch nicht in Betracht.
  • Personenbezogene Daten von Beschäftigten dürften, wenn dies „erforderlich“ ist, für die genannten Zwecke verarbeitet werden. Eine nicht zur Personalverwaltung genutzte Plattform ist nach Meinung des Gerichts jedoch nicht erforderlich.

Das Gericht sieht letztlich keinen Verstoß gegen die Vorschriften in Kapitel V der DSGVO zur Übermittlung von personenbezogenen Daten in Drittländer, wie z.B. die USA. Da die Übermittlung mit dem Transfer und dem Speichern beim Empfänger als beendet gilt und das Ganze vor Inkrafttreten der DSGVO am 25. Mai 2018 erfolgte, hat das LAG eine Anwendung der DSGVO abgelehnt.

Das muss die Praxis beachten

Die Anforderungen an einen Schadensersatzanspruch bei DSGVO-Verstößen sind hoch.

Das LAG Baden-Württemberg stellt nämlich klar, dass die Gefahr des Datenmissbrauchs oder des Kontrollverlusts zwar einen Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DSGVO begründen kann, dafür jedoch eine Kausalität zwischen dem erlittenen Schaden und dem Verstoß erforderlich ist.

Diesen Zusammenhang hat der Anspruchsteller darzulegen und zu beweisen. Hier allerdings mangelt es an einem kausalen Verstoß gegen die DSGVO schon deshalb, weil sie zum Zeitpunkt der Pflichtwidrigkeit des Arbeitgebers noch nicht in Kraft war.

© bund-verlag.de (fro)

Quelle

LAG Baden-Württemberg (25.02.2021)
Aktenzeichen 17 Sa 37/20
Newsletter Allgemein viertel - Anzeige -
Wolfgang Däubler, u.a.
EU-Datenschutz-Grundverordnung - Neues Bundesdatenschutzgesetz - Weitere datenschutzrechtliche Vorschriften
lieferbar 99,00 €
Mehr Infos
Peter Wedde, u.a.
lieferbar 49,90 €
Mehr Infos

Das könnte Sie auch interessieren

AiB AUdio Podcast Meldungsbild
Podcast AiB-Audio - Aktuelles

Die Zukunftsgestalter

Tastatur-Arbeitsschutz_47127348
Arbeitsschutz - Aus den Fachzeitschriften

Nominierte Ideen für einen gesunden Arbeitsplatz