Verstoß gegen Datenschutz – Schadenersatz
Landesarbeitsgericht Hamm, Urteil vom 14.12.20, Aktenzeichen 17 Sa 1185/20
Personenbezogene Daten dürfen nur verarbeitet werden, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann.
Die geschäftsführende Trägergesellschaft mehrerer Krankenhäuser beschloss den Stand der Regelungen einer neuen Geschäftsordnung zu ermitteln. Die Abfrage sollte Mitarbeiter ermitteln, die außertariflich aufgrund ihres Arbeitsvertrages ein jährliches Bruttogehalt von mehr als 80 000 € sowie aufgrund von Zielvereinbarungen Tantiemen über 5 000 € erhielten.
Die Daten sollten für Neuabschlüsse und Änderungen von Arbeitsverträgen Berücksichtigung finden und erforderten wegen der neuen Regelung die Zustimmung des Geschäftsführers der Trägergesellschaft.
Das Referat „Verbundweites Personalmanagement“ der Trägergesellschaft stellt eine Abfrage über den aktuellen Ist-Stand in Bezug auf die unter die Regelung fallenden Verträge und Zielvereinbarungen an die Personalleiter der Verbundkliniken.
Zu diesem Zeitpunkt fielen 156 Mitarbeiter im gesamten Klinikverbund, davon 21 Mitarbeiter der Arbeitgeberin unter die Regelung.
Das Referat „Verbundweites Personalmanagement“ der Trägergesellschaft übersandte mit einer E-Mail eine vorbereitete, aus zwei Tabellenblättern bestehende Übersicht und bat die Personalleiter, die Daten bis zum 22.01.2019 zu ergänzen und die Übersicht einschließlich der jeweiligen Verträge und Änderungsverträge der Beschäftigten zurück zu senden. Das erste mit der E-Mail übermittelte Tabellenblatt betraf Mitarbeiter mit außertariflichen Verträgen die ein Bruttojahresentgelt von 80.000,00 € überstiegen. Abgefragt wurden in diesem Tabellenblatt das Krankenhaus, die Personalnummer, Name und Vorname, die betriebliche Organisationseinheit, die Dienstart, die Funktion, das Einstellungs-/Vertragsänderungsdatum, eine etwaige Befristung, das Jahresbruttoentgelt, die Zielprämie/Tantieme sowie die sonstigen gewährten Leistungen nach Bezeichnung und Höhe.
Mit E-Mail vom 22.01.2019 teilte der Personalleiter der Arbeitgeberin dem Anfragenden der Trägergesellschaft mit, dass er die Angaben in den vorbereiteten Listen soweit eingetragen habe, wie es ihm aus datenschutzrechtlichen Gründen möglich sei. Zugleich wies er darauf hin, dass er zum jetzigen Zeitpunkt keine Angaben machen dürfe, aus denen abgeleitet werden könnte, um welche Person es sich jeweils handele. Aus dem gleichen Grund könne er auch die gewünschten Kopien der Arbeits- und Änderungsverträge nicht zur Verfügung stellen. Er bot an, an die Mitarbeiter heranzutreten und um ein schriftliches Einverständnis zu bitten, sofern dies von der Trägergesellschaft gewünscht sei.
Ein daraufhin von der Trägergesellschaft eingeholtes rechtliches Gutachten kam zu dem Schluss, dass eine Übermittlung der personenbezogenen Daten an die Trägergesellschaft auf Basis von Artikel 6 Absatz 1 Buchstabe f DSGVO (Datenschutz-Grundverordnung) sowie auch nach § 26 BDSG (Bundesdatenschutzgesetz), zulässig sei, wobei darauf hingewiesen wurde, dass zu dieser Thematik noch keine behördlichen oder gerichtlichen Entscheidungen vorlägen.
In dem Gutachten wird unter anderem ausgeführt, dass die Datenerhebung über das für die Zweckerreichung erforderliche Maß nicht hinausgehen dürfe. Beispielsweise habe eine anonymisierte Weitergabe der Arbeitsverträge der Beschäftigten Vorrang, wenn die Vorgaben der Geschäftsführer auch durch eine solche Übermittlung erreicht werden könnten. Das Gutachten weist zudem auf die nach der DSGVO bestehende Informationspflichten des Verantwortlichen gegenüber den Betroffenen hin.
Die Trägergesellschaft hielt daraufhin an ihrer bisherigen Abfrage fest und bat erneut die Personalleiter der Kliniken um die vollständige Ermittlung und Übersendung der gefragten Daten.
Im März 2019 übermittelte der Personalleiter die Daten derjenigen Mitarbeiter in der Klinik, die von der Datenerfassung betroffen waren. Darunter auch eine Mitarbeiterin, die zu diesem Zeitpunkt im Urlaub war. Der Personalleiter sandte am Morgen des 15. März 2019 eine E-Mail an die betroffenen Mitarbeiter, mit der Information, dass deren Daten im Laufe des Tages übermittelt werden.
Am darauffolgenden Montag, als die Mitarbeiterin an ihren Arbeitsplatz zurückkehrte und die E-Mail des Personalleiters gelesen hatte, suchte sie ihn noch am selben Tag auf und teilte ihm mit, dass sie mit einer Weitergabe ihrer Daten nicht einverstanden sei.
Mit anwaltlichem Schreiben wurde die Arbeitgeberin aufgefordert mitzuteilen, welche Daten der Mitarbeiterin in welchem Umfang an Dritte weitergegeben worden seien. Darüber hinaus wurde die Arbeitgeberin zur Auskunft nach Artikel 15 Absatz 1 DSGVO aufgefordert.
Mit E-Mail vom 15.04.2019 teilte das Referat „Verbundweites Personalmanagement“ der Trägergesellschaft der Mitarbeiterin mit, dass die Trägergesellschaft personenbezogene Daten von ihr erhebe und verarbeite, dies zweckgebunden, ausschließlich zur Umsetzung verbundinterner Richtlinien.
In Verbindung mit dem Abschluss einer neuen Zielvereinbarung erhielt die Mitarbeiterin eine Erklärung mit deren Unterschrift sie ihre Einwilligung zur Übermittlung ihrer persönlichen Daten geben sollte bevor die neue Zielvereinbarung abgeschlossen werden könne.
Die Mitarbeiterin erhob gegen die Trägergesellschaft Klage beim Landgericht. Sie begehrte die Löschung der übermittelten Daten sowie die Zahlung von immateriellem Schadensersatz nach Artikel 82 Absatz 1 DSGVO. Das Landgericht gab dem Löschungsantrag statt und verurteilte die Trägergesellschaft gemeinsam mit der Arbeitgeberin zur Zahlung von 8 000 € Schadenersatz.
Die Berufung beider Parteien wurde vom Oberlandesgericht zurückgewiesen, das Urteil dahingehend abgeändert, dass die Trägergesellschaft allein zur Zahlung von 4 000 € verurteilt wurde. Das Urteil ist rechtskräftig.
Im Mai 2019 verlangte die Mitarbeiterin vor dem Arbeitsgericht, dass die Arbeitgeberin es zu unterlassen habe, ihre personenbezogenen Daten an die Trägergesellschaft weiterzugeben.
Darüber hinaus begehrt sie die Zahlung von Schadensersatz für den ihr entstandenen immateriellen Schaden. Sie hat die Auffassung vertreten, dass die Übermittlung der Daten an die Trägergesellschaft nicht rechtmäßig gewesen sei. Für die Durchführung des Arbeitsverhältnisses mit der Klägerin sei die Übermittlung nicht erforderlich gewesen.
Es bestehe auch kein berechtigtes Interesse der Arbeitgeberin an der Weiterleitung der Daten. Mit der Erfassung soll vielmehr eine Datensammlung betrieben werden, um ein anlassloses Informationsbedürfnis auf Seiten der Trägergesellschaft zu befriedigen.
Arbeitnehmer hätten ein berechtigtes Interesse daran, über ihre Gehaltssituation nur aus eigener Veranlassung oder mit den von ihnen ausgewählten Vertragspartnern zu sprechen, nicht aber zum Objekt einer Beurteilung durch Dritte zu werden. Dies gelte in besonderer Weise im außertariflichen Bereich, weil die Gehaltshöhe hier durch Dritte nicht annähernd abgeschätzt werden könne. Bei konzernweiten Vergleichen von Stellen und Gehaltsdaten neigten zudem viele Arbeitgeber dazu, dass besonders teure Mitarbeiter in ihrer Vergütung beschränkt oder im Extremfall sogar aus dem Arbeitsverhältnis heraus gedrängt würden.
Aufgrund der unrechtmäßigen Verarbeitung der personenbezogenen Daten der Mitarbeiterin sei die Arbeitgeberin verpflichtet, derartige Maßnahmen in Zukunft zu unterlassen.
Darüber hinaus sei sie gemäß Artikel 82 DSGVO verpflichtet, der Mitarbeiterin einen angemessenen Schadensersatz für den von ihr erlittenen immateriellen Schaden zu zahlen. Die Mitarbeiterin sei in ihrer persönlichen Ehre und Rechtsstellung als Arbeitnehmerin ernsthaft und nachhaltig verletzt worden, da sie hier vorsätzlich und bewusst zum Spiel bei der unlimitierten und unkontrollierten Datenvermehrung im Konzern gemacht worden sei.
Die Arbeitgeberin argumentierte, im Klinikverbund herrsche ein hohes Datenschutzniveau. Die Berechtigungsverwaltung der erfassten Daten wurde so konfiguriert, dass ausschließlich der mit der Erfassung beauftragte Mitarbeiter Zugriff hat. Dieser Mitarbeiter sei auch nicht verpflichtet die Daten gegenüber anderen Mitarbeitern offen zu legen.
Die Zulässigkeit der Datenübermittlung sei anhand des Rechtsgutachtens geprüft worden. Es seien in den Arbeitsverträgen die Geburtsdaten und Anschriften der Mitarbeiter durch Schwärzungen entfernt und für die Aufgabenerfüllung der Trägergesellschaft nicht relevante Regelungen in den Arbeitsverträgen gelöscht worden.
Für die Weitergabe der Daten an die Trägergesellschaft hätte ein berechtigtes Interesse bestanden. Die Datenübermittlung an die Trägergesellschaft sei zum Zwecke der Vergleichsdatenbildung erfolgt, um dem Bedürfnis eines einheitlichen und nachvollziehbaren Personalwesens innerhalb der Verbundkliniken Rechnung zu tragen. Die Erhebungen im Hinblick auf das Festgehalt und variable Vergütungskomponenten stellten die Basis für die künftige Beantwortung von Genehmigungsanfragen bei Neueinstellungen und Nachverhandlungen dar. Der Zweck der Verarbeitung liege allein in der Herstellung homogener Arbeitsbedingungen innerhalb der Unternehmensgruppe.
Auch für die Mitarbeiterin könne der Datenvergleich positive Auswirkungen haben, weil Gehaltsanpassungen immer nur nach oben denkbar seien. Es sei anerkannt, dass Verantwortliche, die Teil einer Unternehmensgruppe seien, ein berechtigtes Interesse haben könnten, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke zu übermitteln.
Mit Urteil vom Juni 2020 hat das Arbeitsgericht der Klage überwiegend stattgegeben und die Arbeitgeberin zur Unterlassung und zur Zahlung von Schadensersatz in Höhe von 2.000,00 € verurteilt.
Dies hat es im Wesentlichen wie folgt begründet: Die Datenübermittlung an die Trägergesellschaft falle unter den Anwendungsbereich der DSGVO. Sie sei nicht rechtmäßig, weil keiner der in Artikel 6 Absatz 1 DSGVO genannten Tatbestände erfüllt sei. Insbesondere lasse sich die Datenverarbeitung nicht auf Artikel 6 Absatz 1 Buchstabe f DSGVO stützen. Es seien schon keine berechtigten Interessen der Arbeitgeberin festzustellen, weil die Übermittlung vorrangig den Interessen der Trägergesellschaft diene. Zudem sei die Datenübermittlung in dem vorgenommenen Umfang nicht erforderlich gewesen. Vielmehr hätte eine Datenübermittlung in anonymisierter bzw. pseudonymisierter Form ausgereicht.
Die Arbeitgeberin sei zudem gemäß Artikel 82 Absatz 1 DSGVO zur Zahlung von immateriellem Schadensersatz verpflichtet. Unter Berücksichtigung der Umstände des Streitfalls sei ein Betrag von 2.000,00 € ausreichend und angemessen.
Gegen das Urteil des Arbeitsgerichts legte die Arbeitgeberin Berufung beim Landesarbeitsgericht ein.
Das Landesarbeitsgericht entschied, die Berufung ist unbegründet. Die Mitarbeiterin hat einen Anspruch auf Unterlassung der Übermittlung der streitgegenständlichen Daten. Eine Einwilligung der Mitarbeiterin im Sinne von Artikel 6 Absatz 1 Buchstabe a DSGVO liegt nicht vor.
Die streitgegenständliche Datenübermittlung war zur Durchführung des Arbeitsverhältnisses mit der Mitarbeiterin nicht erforderlich. Die Trägergesellschaft ist keine Personalabteilung oder personalverwaltende Stelle der Beklagten. Sämtliche das Arbeitsverhältnis der Mitarbeiterin betreffenden Abrechnungs- und Personalverwaltungsvorgänge werden ohne Mitwirkung der Trägergesellschaft vorgenommen.
Personenbezogene Daten dürfen nur verarbeitet werden, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. Insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, könnten die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen.
Es besteht allerdings grundsätzlich ein berechtigtes Interesse der Arbeitgeberin und der Trägergesellschaft an der Übermittlung der Gehaltsdaten der Mitarbeiterin. Diese Verarbeitung soll einen konzernweiten Vergleich der Gehälter und sonstigen Entgeltbestandteile der im Konzern beschäftigten außertariflichen Mitarbeiter ermöglichen. Das damit verbundene Ziel, die Vergütungspraxis von außertariflichen Angestellten in vergleichbaren Positionen konzernweit einheitlich und widerspruchsfrei zu gestalten, ist ein berechtigtes wirtschaftliches Interesse. Die konzerninterne Datenübermittlung für solche internen Verwaltungszwecke wird auch durch Erwägungsgrund 48 Satz 1 DSGVO grundsätzlich anerkannt.
Die Übermittlung der Daten war in ihrer konkreten Ausgestaltung jedoch nicht erforderlich. Die Gehaltsdaten der Mitarbeiterin hätten in pseudonymisierter Form übermittelt werden können.
Um einen Überblick über das aktuelle Gehaltsgefüge der außertariflichen Mitarbeiter der Verbundkliniken zu erhalten, sowie um zukünftig homogene Arbeitsbedingungen für diese Personengruppe zu schaffen und die Gehälter der AT-Mitarbeiter bei zukünftigen Vertragsabschlüssen bzw. -änderungen an vergleichbare Positionen anzupassen, hätte es genügt, Gehaltsdaten (Jahresbruttogehalt, Zielprämie und sonstige Leistungen), die Funktion des jeweiligen Beschäftigten und seine Organisationseinheit zu übermitteln.
Die weiteren von der Arbeitgeberin übermittelten Daten der Mitarbeiterin (Name, Vorname, Personalnummer, Geburtsdatum, Privatadresse, Konzerngesellschaft, bei der sie tätig ist, Krankenhaus, in dem sie tätig ist, Arbeitsvertrag) sind für die Vergleichsdatenbildung hingegen nicht erforderlich.
Eine pseudonymisierte Übermittlung der Gehaltsdaten würde in jedem Fall weniger stark in die Grundrechte der Mitarbeiterin eingreifen, den von der Arbeitgeberin erstrebten Zweck aber ebenso wirksam erreichen. Die Datenübermittlung in ihrer konkreten Ausgestaltung war daher nicht erforderlich.
Zudem überwiegen im Streitfall die Interessen der Mitarbeiterin die Interessen der Arbeitgeberin und der anderen Unternehmen ihrer Unternehmensgruppe.
Auf Seiten der Mitarbeiterin ist das Grundrecht aus Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union (GRC) auf Schutz ihrer personenbezogenen Daten zu berücksichtigen, das auch in Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) zum Ausdruck kommt.
Das berechtigte Interesse der Arbeitgeberin und der Trägergesellschaft an einer Vergleichsdatenbildung zur Schaffung einer konzernweit einheitlichen Vergütungsstruktur betrifft ihre Wirtschafts- und Geschäftstätigkeit, die als Bestandteil der unternehmerischen Freiheit durch Artikel 16 GRC geschützt wird. Dieses berechtigte Interesse könnte allerdings in gleicher Weise verwirklicht werden, wenn die Daten in geringerem Umfang und in pseudonymisierter Form verarbeitet worden wären.
Die Arbeitgeberin hat den Grundsatz der Transparenz und die aus ihm folgenden Informationspflichten nicht beachtet. Sie ist ihrer Hinweispflicht aus Artikel 13 Absatz 3 DSGVO nicht nachgekommen.
Daten der Mitarbeiterin die ausschließlich für das Beschäftigungsverhältnis erhoben wurden, sollten für einen anderen, konzernweiten Zweck genutzt werden.
Personen sind über ihr Widerspruchsrecht vor der Weiterverarbeitung ihrer Daten zu informieren. Die betroffene Person muss tatsächlich in der Lage sein, aufgrund der Informationen noch vor der Weiterverarbeitung Einwände zu erheben. Insbesondere entstehen die Informationspflichten nach Artikel 13 Absatz 3 DSGVO auch, wenn der Verantwortliche beabsichtigt, die Daten an einen Dritten zu übermitteln, der die Daten anschließend zu einem anderen Zweck weiterverarbeiten soll.
Abgesehen davon, dass sich die Mitarbeiterin am 15.03.2019 im Urlaub befand und die E-Mail somit vor der Weiterverarbeitung gar nicht zur Kenntnis nehmen konnte, enthält die E-Mail auch keine der in Artikel 13 Absatz 3 DSGVO vorgesehenen Informationen. Insbesondere wurde die Mitarbeiterin weder auf die Rechtsgrundlage der Verarbeitung noch auf ihr Widerspruchsrecht hingewiesen.
Sogar nachdem die Arbeitgeberin im Nachgang von der Mitarbeiterin mit Schreiben aufgefordert worden war, ihr Auskunft über Inhalt, Umfang und Empfänger der weitergegebenen Daten zu erteilen, hat die Arbeitgeberin diese Auskünfte nicht erteilt.
Die Arbeitgeberin hat ihre Informationspflichten somit nachhaltig nicht erfüllt und damit das – auch grundrechtlich geschützte (§ 8 Absatz 2 Satz 2 GRC) – Recht der Mitarbeiterin auf Auskunft über die sie betreffenden Daten beeinträchtigt, obwohl sie in dem eingeholten Rechtsgutachten ausdrücklich auf die ihr obliegenden Informationspflichten nach der DSGVO hingewiesen worden war.
Die Mitarbeiterin musste nicht mit einer Übermittlung ihrer Daten an die Trägergesellschaft rechnen. Gemäß § 10 Absatz 3 des Arbeitsvertrags sollten ihre Daten nur für Zwecke des Arbeitsverhältnisses mit der Arbeitgeberin genutzt werden. Die Mitarbeiterin war auch nicht über die beabsichtigte Weiterverarbeitung ihrer Daten zu einem geänderten Zweck unterrichtet worden. Bei dieser Sachlage konnte ein vernünftiger Dritter in der Person der Mitarbeiterin davon ausgehen, dass die Daten – wie auch in der Vergangenheit – ausschließlich für die Durchführung des Arbeitsverhältnisses genutzt werden. Sie musste vernünftigerweise nicht mit einer Verarbeitung zu einem anderen Zweck rechnen, was ebenfalls für ein Überwiegen der Interessen der Mitarbeiterin spricht.
Es war aber denkbar, dass die Trägergesellschaft ihre erforderliche Zustimmung zu Gehaltserhöhungen in bestimmten Fällen überhaupt nicht oder nur mit zeitlicher Verzögerung geben würde, weil der betroffene Arbeitnehmer bereits eine vergleichbar hohe Vergütung erhält. Abhängig von der Position der Mitarbeiterin im konzernweiten Gehaltsgefüge hätte auch sie von einer solchen Praxis betroffen sein können.
Die Mitarbeiterin hat gegen die Arbeitgeberin gemäß Artikel 82 Absatz 1 DSGVO Anspruch auf Ersatz des immateriellen Schadens.
Die Arbeitgeberin ist Verantwortlicher im Sinne des Artikel 4 Nr. 7 DSGVO und haftet daher für den Schaden, der durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wurde. Die personenbezogenen Daten der Mitarbeiterin wurden nicht in rechtmäßiger Weise übermittelt. Durch den Verstoß der Arbeitgeberin gegen Bestimmungen der DSGVO ist der Mitarbeiterin ein immaterieller Schaden entstanden. Bereits der – auch hier eingetretene – Verlust über die Kontrolle der eigenen personenbezogenen Daten kann nach Erwägungsgrund 75 und 85 DSGVO einen immateriellen Schaden begründen.
Unter Würdigung aller Umstände des Einzelfalles geht die Berufungskammer im Einklang mit der Entscheidung des Arbeitsgerichts davon aus, dass der Mitarbeiterin zur Abgeltung des immateriellen Schadens ein Geldanspruch in Höhe von 2.000,00 € zusteht.
Hier liegen mit der Übermittlung der Daten durch die Arbeitgeberin einerseits und der Speicherung und Nutzung der Daten durch die Trägergesellschaft andererseits zwei unterschiedliche Verarbeitungsvorgänge im Sinne des Artikel 4 Nr. 2 DSGVO mit jeweils unterschiedlichen Verantwortlichen vor. Deshalb haftet die Arbeitgeberin allein und nicht gemeinsam mit der Trägergesellschaft als Gesamtschuldner.