Das Bundesarbeitsgericht (BAG) legte dem Europäischen Gerichtshof (EuGH) in einem Vorlagebeschluss vom 22. September 2022 sechs Fragen zur Datenverarbeitung im Beschäftigtenverhältnis hinsichtlich der Auslegung von Art. 82 DSGVO und Art. 88 DSGVO zur Entscheidung vor. Wir erläutern für Sie die vorgelegten Fragen und diskutieren mögliche Auswirkungen der Antworten des EuGH.
Zugrundeliegendes Verfahren
Der Kläger verklagte seine Arbeitgeberin, ein Unternehmen für Zahnmedizintechnik, auf Schadensersatz nach Art. 82 DSGVO wegen Verletzung datenschutzrechtlicher Bestimmungen im Arbeitsverhältnis. Die Beklagte habe im Zeitraum vom 25. Mai 2018 (erster Tag der Geltung der DSGVO) bis zum Ende des ersten Quartals 2019 im cloudbasierten Personal-Management-System Workday unrechtmäßig Daten verarbeitet.
Um konzernweit Workday als einheitliches Personal-Management-System einzuführen, wurden zwischen dem 24. April und dem 18. Mai 2017 von der Beklagten personenbezogene Daten des Klägers an Server des US-amerikanischen Mutterkonzerns übermittelt. Am 3. Juli 2017 unterzeichneten die Beklagte und der Betriebsrat eine „Duldungs-Betriebsvereinbarung über die vorläufige Einführung von Workday inklusive Anlagen. In der Anlage 2 zur Betriebsvereinbarung wurden die aus SAP an Workday zu übermittelnden Daten tabellarisch mit ihrer englischen und deutschen Bezeichnung festgelegt.
Die tatsächlich übermittelten Daten gingen jedoch über die in der Anlage 2 genannten Daten hinaus und umfassen Gehaltsinformationen, die private Wohnanschrift, das Geburtsdatum, das Alter, den Familienstand, die Sozialversicherungsnummer sowie die Steuer-Identifikationsnummer der Beschäftigten.
Seit April 2017 forderte der Kläger die Beklagte mehrfach auf – zunächst gestützt auf das Bundesdatenschutzgesetz (BDSG) und nach dem 25. Mai 2018 gestützt auf die DSGVO –, ihm über sämtliche über seine Person in Workday gespeicherten Daten Auskunft zu geben.
Nachdem der Kläger die Auskünfte von der Beklagten über die in Workday zu seiner Person gespeicherten Daten erhielt, nahm er die zunächst mit seiner Klage verfolgten Anträge teilweise zurück. Vor dem Senat in der Revisionsinstanz ist ausschließlich noch der Antrag auf Schadensersatz nach Art. 82 DSGVO wegen Verletzung von datenschutzrechtlichen Bestimmungen im Arbeitsverhältnis in Höhe von 3.000 Euro anhängig.
Für eine Entscheidung in der Sache hat das BAG dem EuGH die im Folgenden dargestellten Auslegungsfragen vorgelegt.
Der Vorlagebeschluss an den EuGH
Ist bei § 26 Abs. 4 BDSG die gesamte DSGVO zu beachten?
Mit seiner ersten Frage erbittet das BAG Auskunft darüber, ob eine nach Art. 88 Abs. 1 DSGVO erlassene nationale Rechtsvorschrift wie § 26 Abs. 4 BDSG dahingehend auszulegen ist, dass neben Art. 88 Abs. 2 DSGVO auch die sonstigen Vorgaben der DSGVO – wie etwa Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO – einzuhalten sind.
- 26 Abs. 4 BDSG könnte nach seinem Wortlaut dahin verstanden werden, dass außer den Vorgaben in Art. 88 Abs. 2 DSGVO keine weiteren Vorgaben der DSGVO zu beachten sind. In einem solchen Fall könnte eine Datenverarbeitung im Arbeitsverhältnis, die eigentlich unrechtmäßig wäre, weil sie nicht den Vorgaben der Erforderlichkeit von § 26 Abs. 1 BDSG, Art. 5, Art. 6 Abs. 1 bzw. Art. 9 Abs. 1 und Abs. 2 DSGVO entspricht und für die auch keine Einwilligung der betroffenen Person vorliegt, allein wegen des Umstands, dass sie in einer Kollektivvereinbarung – wie hier einer Betriebsvereinbarung – geregelt ist, zulässig sein.
Die Pflicht, auch die sonstigen Vorgaben der DSGVO einzuhalten, würde im Ausgangsverfahren bedeuten, dass vorher geprüft werden müsste, ob die Verarbeitung der Daten des Klägers zur vorläufigen Einführung von Workday als erforderlich im Sinne von § 26 Abs. 1 BDSG, Art. 5, Art. 6 Abs. 1 DSGVO angesehen werden kann. Die Erforderlichkeit könnte beispielsweise zu verneinen sein, wenn der mit der Einführung von Workday verfolgte Zweck auch mittels pseudonymisierter oder bereinigter Daten erreicht werden kann. Jedenfalls würde sich die Rechtmäßigkeit der Verarbeitung nach Art. 6 Abs. 1 lit. b) DSGVO bestimmen und nicht ausschließlich nach Kollektivrecht als originäre Rechtsgrundlage für die Verarbeitung.
Haben die Parteien einen gerichtlich nur eingeschränkt überprüfbaren Beurteilungsspielraum?
Sofern der EuGH die obige Frage bejaht, wird Auskunft erbeten, ob eine nach Art. 88 Abs. 1 DSGVO erlassene nationale Rechtsvorschrift wie § 26 Abs. 4 BDSG dahingehend ausgelegt werden darf, dass den Parteien einer Kollektivvereinbarung bei der Beurteilung der Erforderlichkeit der Datenverarbeitung ein Spielraum zusteht, der gerichtlich nur eingeschränkt überprüfbar ist.
Aus Sicht des BAG bestehen erhebliche Bedenken gegen die Anerkennung eines solchen Spielraums. Es wäre nach Ansicht des Senats mit dem Wesen des Unionsrechts unvereinbar, wenn dem nationalen Gericht die Befugnis abgesprochen würde, bei der Anwendung des Unionsrechts Bestimmungen eines Tarifvertrags – oder ggf. einer Betriebsvereinbarung – außer Anwendung zu lassen, die die volle Wirksamkeit der unionsrechtlichen Vorschriften möglicherweise behindern.
Wie wird die gerichtliche Kontrolle beschränkt?
Sofern die zweite Frage bejaht wird, bittet das BAG auch Auskunft darüber, worauf in einem solchen Fall die gerichtliche Kontrolle bei der Beurteilung der Datenverarbeitung beschränkt werden darf.
Muss ein immaterieller Schaden nachgewiesen werden?
Mit seiner nächsten Frage möchte das BAG wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass ein immaterieller Schadensersatzanspruch bereits dann besteht, wenn personenbezogene Daten entgegen der DSGVO verarbeitet wurden, oder ob die betroffene Person darüber hinaus einen immateriellen Schaden von einigem Gewicht darlegen muss.
Der Senat geht nicht davon aus, dass der Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO über eine Verletzung der DSGVO hinaus zusätzlich erfordert, dass die verletzte Person einen von ihr erlittenen immateriellen Schaden darlegt. Seiner Ansicht nach führt bereits der Umstand, dass eine Person infolge der Verletzung der DSGVO bei der Verarbeitung ihrer personenbezogenen Daten in ihren Rechten verletzt wurde, zu einem immateriellen Schaden. Sofern der Europäische Gerichtshof anderer Auffassung sein sollte, wird die Nennung von Kriterien erbeten, die für das Vorliegen eines Schadens, die Kausalität und für die Darlegungs- und Beweislast maßgebend sind.
Wie ist die Schadenshöhe bei immateriellen Schäden zu bemessen?
Als fünftes stellt das BAG die Frage, ob Art. 82 Abs. 1 DSGVO auch einen spezial- bzw. generalpräventiven Charakter hat und ob dies bei der Bemessung der Schadenshöhe zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden muss.
Der Senat geht davon aus, dass sich die Höhe des immateriellen Schadensersatzes nach der Schwere des Verstoßes gegen die DSGVO richtet, da durch das Gericht alle Umstände des Einzelfalls zu berücksichtigen sind und ein wirksamer rechtlicher und gleichzeitig abschreckender Schutz der Rechte aus der DSGVO unter Beachtung der Verhältnismäßigkeit gewährleistet werden soll.
Besteht eine verschuldensunabhängige Haftung?
Die sechste Frage betrifft schließlich das Verhältnis zwischen der Schadenshöhe und dem Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters. Auch ist fraglich, ob ein nicht vorliegendes oder geringes Verschulden zu seinen Gunsten berücksichtigt werden darf.
Würde für Art. 82 Abs. 1 DSGVO ähnliches gelten wie im deutschen Zivilrecht (§ 276 Abs. 1 Satz 1 BGB: Verantwortlichkeit des Schuldners) müsste für eine Haftung zu einem DSGVO-Verstoß auch die subjektive Vorwerfbarkeit wegen Vorsatz oder Fahrlässigkeit hinzutreten. Allerdings nimmt der Senat an, dass die Haftung nach Art. 82 Abs. 1 DSGVO verschuldensunabhängig ist.
Auch ergebe sich keine Verschuldensvermutung aus Art. 82 Abs. 3 DSGVO. Diese Vorschrift betrifft nach Auffassung des Senats nicht das Verschulden im Sinne eines „Vertretenmüssens“, sondern lediglich die Frage nach einer „Beteiligung“. Hiernach werde der Verantwortliche von der Haftung befreit, wenn er nachweist, dass der haftungsbegründende Umstand auf dem Verhalten eines Dritten beruht und trotz aller gebotenen Sicherheitsmaßnahmen nicht verhindert werden konnte. Grund für diese Auslegung sei, dass bei Datenverarbeitungszusammenhängen mit mehreren potentiellen Beteiligten die Frage nach der Urheberschaft von außen schwer durchschaubar sei.
