(Stuttgart) Ein Unternehmen testet eine neue Personalsoftware – doch dabei werden mehr Daten übermittelt als erlaubt. Das Bundesarbeitsgericht (BAG) zieht eine klare Grenze: Auch eine Betriebsvereinbarung ist kein Freifahrtschein für Datenschutzverstöße!
Darauf verweist der Kölner Fachanwalt für Arbeitsrecht Volker Görzel, Leiter des Fachausschusses „Betriebsverfassungsrecht und Mitbestimmung“ des VDAA – Verband deutscher ArbeitsrechtsAnwälte e. V. mit Sitz in Stuttgart.
Mehr Daten weitergegeben als vereinbart
2017 wollte ein Unternehmen das cloudbasierte System „Workday“ konzernweit einführen. Dafür nutzte man Echtdaten echter Mitarbeiter. Der Betriebsrat war einverstanden – aber nur unter bestimmten Bedingungen: Nur Name, Eintrittsdatum, Arbeitsort und geschäftliche Kontaktdaten sollten übermittelt werden.
Doch es kam anders. Im Testlauf wurden auch Gehaltsinformationen, Wohnanschriften und sogar Steuer-IDs an die Konzernmutter weitergegeben. Der betroffene Arbeitnehmer war nicht einverstanden – und klagte auf Schadenersatz nach Art. 82 DSGVO.
Landesarbeitsgericht winkt ab – doch der Fall geht weiter
Das Landesarbeitsgericht Baden-Württemberg wies die Klage zunächst ab. Doch das BAG schaltete den Europäischen Gerichtshof (EuGH) ein und stellte wichtige Grundsatzfragen zum Datenschutz im Arbeitsverhältnis.
EuGH: Nur DSGVO-konforme Vereinbarungen sind wirksam
Der EuGH machte es unmissverständlich klar: Betriebsvereinbarungen dürfen nicht gegen die DSGVO verstoßen. Sie müssen sich streng an die Prinzipien der Zweckbindung und Speicherbegrenzung halten – und dürfen nur das regeln, was rechtlich erlaubt ist.
Für Arbeitgeber heißt das: Eine Betriebsvereinbarung allein reicht nicht aus, um sensible Mitarbeiterdaten zu verarbeiten. Die DSGVO bleibt das Maß aller Dinge.
BAG: Kontrollverlust = Schaden
Das BAG entschied, dass der Kläger einen Schadenersatz erhält. Grund: Die übermittelten Daten gingen über das erlaubte Maß hinaus. Damit lag ein klarer Verstoß gegen die DSGVO vor. Der Schaden lag im Verlust der Kontrolle über die eigenen Daten. Und dieser Kontrollverlust ist nach Ansicht des Gerichts ein ersatzfähiger immaterieller Schaden. Entscheidend: Es reichte nicht nur ein „komisches Gefühl“ – der Kläger musste konkret belegen, dass seine Daten unzulässig weitergegeben wurden.
Fazit: Datenschutzverstöße sind kein Kavaliersdelikt
Unternehmen aufgepasst: Auch im Konzern und trotz Betriebsrat gilt der Datenschutz uneingeschränkt. Wer mehr Daten weitergibt als erlaubt, riskiert nicht nur Ärger – sondern auch handfeste Schadenersatzforderungen.
Görzel empfahl, dies zu beachten und in Zweifelsfällen rechtlichen Rat einzuholen, wobei er u. a. dazu auch auf den VDAA-Verband deutscher ArbeitsrechtsAnwälte e. V. – www.vdaa.de – verwies.
Für Rückfragen steht Ihnen zur Verfügung:
Volker Görzel
Rechtsanwalt, Fachanwalt für Arbeitsrecht
HMS. Barthelmeß Görzel Rechtsanwälte
Hohenstaufenring 57 a
50674 Köln
Telefon: 0221/ 29 21 92 0 Telefax: 0221/ 29 21 92 25
goerzel@hms-bg.de www.hms-bg.de