Immaterieller Schadensersatz — Verstoß gegen die DSGVO — Datenübermittlung in ein Drittland (USA) vor dem Geltungsbeginn der DSGVO

Lan­desar­beits­gericht Baden-Würt­tem­berg, Beschluss vom 31.03.2021, AZ 17 Sa 37/20

Aus­gabe: 04–2021

1. Wer­den per­so­n­en­be­zo­gene Dat­en von Beschäftigten über den 24. Mai 2018 hin­aus ver­ar­beit­et (gespe­ichert), ist dies ab dem 25. Mai 2018 am Maßstab der DSGVO zu messen.

2. Erfol­gt die Verarbeitung/Speicherung der per­so­n­en­be­zo­ge­nen Dat­en von Beschäftigten, zum Zwecke, ein (noch) nicht pro­duk­tiv genutztes, später noch konz­ern­weit einzuführen­des cloud­basiertes Per­son­al­in­for­ma­tion­s­man­age­mentsys­tem zu testen, schei­det § 26 Abs. 1 BDSG wie auch Art. 6 Abs. 1 Buchst. f DSGVO als Rechts­grund­lage der Ver­ar­beitung man­gels Erforder­lichkeit aus. Als Rechts­grund­lage ein­er Daten­ver­ar­beitung kommt in diesem Fall als Kollek­tivvere­in­barung iSv. § 26 Abs. 4 BDSG eine Betrieb­svere­in­barung in Betracht.

3. Bes­timmt die Betrieb­svere­in­barung für die vorüberge­hende Nutzung des Per­son­al­in­for­ma­tion­s­man­age­mentsys­tems die Kat­e­gorien der vorüberge­hend nutzbaren Dat­en, ist die Ver­ar­beitung ander­er per­so­n­en­be­zo­gen­er Dat­en rechtswidrig.

4. Wur­den die per­so­n­en­be­zo­ge­nen Dat­en von Beschäftigten vor dem 25. Mai 2018 an die Konz­ern­mut­ter in ein Drit­t­land (USA) über­mit­telt, liegt kein Ver­stoß des die Dat­en über­mit­tel­nden Arbeit­ge­bers als Ver­ant­wortlich­er gegen die Bes­tim­mungen des V. Kapi­tels der DSGVO (Art. 44 ff. DSGVO) vor.

5. Hat der Arbeit­ge­ber als Ver­ant­wortlich­er mit der Konz­ern­mut­ter als Auf­tragsver­ar­beit­er vor dem 25. Mai 2018 Stan­dard­ver­tragsklauseln auf der Grund­lage des Anhangs des Beschlusses der Kom­mis­sion vom 5. Feb­ru­ar 2010 (2010/87/EU) vere­in­bart und diese Stan­dard­ver­tragsklauseln durch Anhänge und weit­ere Ver­tragswerke um die Inhalte des Art. 28 Abs. 3 DSGVO ergänzt, liegt seit­ens des ver­ant­wortlichen Arbeit­ge­bers kein Ver­stoß gegen Art. 28 DSGVO vor.

6. Ver­langt ein Beschäftigter wegen der über­schießen­den Daten­ver­ar­beitung durch die Konz­ern­mut­ter in den USA vom ver­ant­wortlichen Arbeit­ge­ber nach Art. 82 Abs. 1, 2 DSGVO imma­teriellen Schadenser­satz und macht er als imma­teriellen Schaden die Gefahr eines Miss­brauchs der Dat­en durch Ermit­tlungs­be­hör­den in den USA oder andere Konz­ernge­sellschaften bzw. einen Kon­trol­lver­lust gel­tend, kom­men diese Umstände grund­sät­zlich zur Begrün­dung eines imma­teriellen Schadens iSv. Art. 82 DSGVO in Betra­cht. Für eine Haf­tung des Arbeit­ge­bers ist jedoch zusät­zlich erforder­lich, dass der Schaden “wegen eines Ver­stoßes” gegen die DSGVO ent­standen ist, dh. einem Verord­nungsver­stoß zuge­ord­net wer­den kann (Kausal­ität). Daran fehlt es, wenn der Arbeit­ge­ber wed­er gegen die Bes­tim­mungen des V. Kapi­tels der DSGVO noch gegen Art. 28 DSGVO ver­stoßen hat. Der verbleibende Ver­stoß gegen § 26 Abs. 4 BDSG iVm. den Bes­tim­mungen der Betrieb­svere­in­barung löst allein keinen Schadenser­satzanspruch nach Art. 82 DSGVO aus.

Weit­ere Infor­ma­tio­nen: http://lrbw.juris.de/cgi-bin/laender_rechtsprec…