Einen für die Praxis sehr relevanten Fall hatte das LAG Rheinland-Pfalz zu entscheiden. In dem Fall vor dem Arbeitsgericht ging es in 2. Instanz u.a. darum, ob die unbefugte konzerninterne Weitergabe personenbezogener Beschäftigtendaten einen Anspruch auf Schadensersatz nach Art. 82 DSGVO begründet.
In dem Fall ging es darum, dass ein Unternehmen über mehrere Jahre innerhalb eines Konzerns Zugriffsberechtigungen zu Leistungsbewertungen einer Beschäftigten auch Führungskräften in anderen Konzerneinheiten erteilte. Die Beschäftigte forderte in 2019 mehrmals zur Löschung dieser Daten auf.
Dazu muss man wissen, dass die Klägerin der Weitergabe der Daten nicht zugestimmt hatte. Die Klägerin hat eine “Einwilligung zur Datenverarbeitung” unterzeichnet, in der sie Streichungen und Anmerkungen vorgenommen hat. Folgenden Absatz hat sie gestrichen:
“Ihre Daten dürfen zu diesen Zwecken auch innerhalb von und zwischen Gesellschaften der B.-Gruppe, auch im Ausland, übermittelt, verarbeitet und genutzt werden und zum Zwecke des Transfers und der damit verbundenen Leistungen auch an Dritte übermittelt werden, z. B. zur Einholung von Visa für bestimmte Länder, zur Erfüllung der Steuer- und Sozialbeitragspflichten und des Global Compensation Reporting (s. a. Einverständniserklärung )“.
Die Beklagte wies die Forderungen der Klägerin zurück. Es liege kein Datenschutzverstoß vor. Die Performancebewertungen einschließlich der Zielvereinbarungen seien im Rahmen von Success Factors weitergeleitet worden. Dabei handele es sich um ein globales IT-System, das sowohl von ihr als auch der Muttergesellschaft genutzt werde. Die Mitarbeiterentwicklung folge im Konzern einem weltweit einheitlichen Konzept mit gruppenweit einheitlichen Beurteilungs- und Entwicklungsverfahren. Die Datenverarbeitung sei damit zur Wahrnehmung berechtigter Interessen erfolgt. Im Sinne einer einvernehmlichen Lösung habe man ohne Anerkennung einer Rechtspflicht und ohne Präjudiz für eine gerichtliche Entscheidung die Entfernung der Performancebewertungen einschließlich der Zielvereinbarungen für die Jahre 2015, 2016 und 2017 aus Success Factors veranlasst.
Der Sachverhalt ist in der Hinsicht etwas schwer zu durchdringen, aber klar ist, dass Daten nicht rechtzeitig gelöscht worden sein sollen und Konzernteile nicht zugriffberechtigt hätten sein dürfen. Die Beklagte trägt dazu vor. “Sie habe die Performancebewertungen der Klägerin nicht aktiv an deren neue Arbeitgeberin weitergeleitet. Mit dem Arbeitgeberwechsel der Klägerin sei lediglich die technische Folge verbunden gewesen, dass anstelle ihres früheren Vorgesetzten bei ihr dann ihre neue Führungskraft Einsicht in das Mitarbeiterportal habe nehmen können. Dem habe keine Einzelfallentscheidung bezüglich der Klägerin zugrundegelegen, sondern eine standardmäßige Umschreibung des Zugriffsrechts auf die neue Führungskraft.“
Im Urteil heißt es dazu: “Die Beklagte hat ihrer Konzernmutter, zu der die Klägerin ein Arbeitsverhältnis eingegangen ist, einen Zugriff auf Daten der Klägerin aus dem zwischenzeitlich beendeten Arbeitsverhältnis der Parteien ermöglicht. Dabei ist es unerheblich, ob die Beklagte die Performancebewertungen der Klägerin aktiv an deren neue Arbeitgeberin weitergeleitet hat oder – wie die Beklagte vorträgt – mit dem Arbeitgeberwechsel die technische Folge verbunden gewesen ist, dass anstelle ihres früheren Vorgesetzten bei ihr dann ihre neue Führungskraft Einsicht in das Mitarbeiterportal habe nehmen können. Auch durch die standardmäßige Umschreibung des Zugriffsrechts auf die neue Führungskraft bei der Konzernmutter werden Daten verarbeitet. Die Beklagte hat – wie sie selbst vorgetragen hat – eine Abrufmöglichkeit in dem bei ihr bestehenden Administrationsprogramm ausschließlich für zuständige Führungskräfte eingerichtet.”
Die Klägerin hatte ihren Schadenersatzanspruch damit begründet, dass die Kenntnisnahme dieser Bewertungen durch Führungskräfte des neuen Arbeitgebers habe ihre Karrierechancen beeinträchtigt. Den Schadenersatz berechnet sie auf Basis der Bußgeldmöglichkeiten des Art. 83 DSGVO unter Berücksichtigung des Vorjahresumsatzes und fordert insgesamt 8.720.000 Euro, weil das der Betrag gewesen sei, den der Unternehmensverbund hätte zahlen müssen, wenn es ein Bußgeld gegeben hätte.
Ich kann mir nicht vorstellen, dass die Klägerin mit den tatsächlichrealisierte Schadenersatz in Höhe von 4.000 Euro sehr zufrieden sein wird.
Ob der Arbeitgeber evtl. noch in einem Bußgeldverfahren steht, wegen des Datenschutzverstoßes ist unbekannt. Möglich wäre es jedenfalls.
Das Urteil sollte jedem Konzern noch einmal deutlich machen, wie wichtig es ist die Zugriffsberechtigungen und Rollen in den Personalsystemen genau zu definieren. Die Vorstellungnen und Bedürfnisse mancher Konzernmütter im Ausland ist da nicht unbedingt immer hilfreich. Hier ist es eine wichtige Aufgabe des oder der Datenschutzbeauftragten Risiken klar zu benennen und notfalls mit dem BR zusammen zu arbeiten. Im Übrigens ging es eigentlich um den Vorwurf von Mobbing und das sind ja generell keine einfachen Verfahren.
