Der Art. 88 Abs. 1 DSGVO sieht vor, dass die Mitgliedstaaten vorsehen können, dass eine betroffene Person einen Anspruch auf Schadensersatz hat, wenn sie infolge einer Verletzung der DSGVO materiellen oder immateriellen Schaden erlitten hat. Die Frage, ob ein erlittener Schaden von einigem Gewicht dargelegt werden muss oder ob bereits die Verletzung der DSGVO-Vorgaben ausreicht, um einen Schadensersatzanspruch zu begründen, wird in der Praxis und in der Rechtsprechung unterschiedlich beantwortet. Nun soll der Europäischen Gerichtshof (EuGH) nach Vorlage des Bundesarbeitsgerichts (BAG) vom 22. September 2022 unter anderem diese Frage klären.
Der Inhalt im Überblick
Sachverhalt: US-Software mit Echtdaten getestet
Vorangegangen war ein Verfahren vor dem Landesarbeitsgericht Baden-Württemberg, über das wir auch schon im Beitrag Software mit Echtdaten testen – Geht das unter der DSGVO? berichteten. Ein Arbeitnehmer (und zugleich Betriebsratsvorsitzender) verklagte seine Arbeitgeberin, ein Unternehmen der Zahnmedizintechnik (zeitweise Mitglied eines US-Konzerns) auf immateriellen Schadensersatz gem. Art. 82 DSGVO.
Die Beklagte habe demnach unter Verletzung der DSGVO-Vorgaben einen cloudbasierten Dienst für Personaldaten („Workday“) verwendet. Unter dem 03.07.2017 wurde hierzu eine vorläufige „Duldungs-Betriebsvereinbarung“ für die Laufzeit der entsprechenden Testphase abgeschlossen.
Der Kläger stellte seit April 2017 mehrere Auskunftsansprüche, welche er anschließend zusammen mit einer Löschungs- und Schadensersatzforderung gerichtlich verfolgte. Nach zwischenzeitlich erteilter Auskunft verfolgt der Kläger nunmehr im Rahmen der Revisionsklage nur noch den Antrag auf immateriellen Schadensersatz nach Art. 82 DSGVO. Der Betrieb des zunächst noch testweise eingesetzten Dienstes mit seinen Realdaten sei demnach neben der tatsächlich zum Einsatz gekommenen Personalsoftware SAP nicht erforderlich gewesen. Zu Testzwecken hätten auch sog. „Dummy-Daten“ genügt. Jedenfalls sei die Verarbeitung über den vorläufigen Rahmen der Betriebsvereinbarung hinausgegangen.
Entscheidung des Bundesarbeitsgerichts
In der Revision vor dem Bundesarbeitsgericht hat dieser das Verfahren ausgesetzt und mit Vorlagebeschluss vom 22. September 2022 – Az. 8 AZR 209/21 (A) dem Gerichtshof der Europäischen Union (C-65/23) die folgenden Fragen zur Vorabentscheidung vorgelegt:
Die Fragen an den EuGH
- Ist eine nach Art. 88 Abs. 1 DSGVO erlassene nationale Rechtsvorschrift wie § 26 Abs. 4 BDSG (Verarbeitung von – auch besonderen – personenbezogenen Daten zum Zwecke des Beschäftigungsverhältnisses ist aufgrund von Kollektivvereinbarungen unter Berücksichtigung von Art. 88 Abs. 2 zulässig) dahingehend auszulegen, dass sonstige Vorgaben der DSGVO (bspw. Art. 5; Art. 6 Abs. 1 und Art. 9 Abs.1 & 2 DSGVO) ebenfalls einzuhalten sind?
- Falls ja, darf beispielsweise § 26 Abs. 4 BDSG dahin ausgelegt werden, dass Parteien einer Kollektivvereinbarung (bspw. Betriebsvereinbarung) einen gerichtlich nur eingeschränkt überprüfbaren Spielraum in Bezug auf die Erforderlichkeit haben?
- Falls ja, worauf darf die gerichtliche Kontrolle beschränkt werden?
- Begründet Art. 82 Abs. 1 DSGVO einen (immateriellen) Schadensersatzanspruch schon bei Verletzung der DSGVO-Vorgaben oder muss ein erlittener Schaden – von einigem Gewicht – dargelegt werden?
- Hat Art. 82 Abs. 1 DSGVO einen präventiven Charakter und muss dies bei der Höhe des Schadensersatzanspruchs berücksichtigt werden?
- Wirkt sich der Verschuldensgrad auf die Schadensersatzhöhe aus? Gilt dieser u.U. zu Gunsten des Verantwortlichen/AV?
Höhe des Schadensersatzes
Das BAG bestätigt in seinen Beschlussgründen, dass entsprechend dem Klägervortrag Daten über den vereinbarten Rahmen hinaus verarbeitet wurden. Benötigt werde allerdings eine Stellungnahme des EuGH, um die Höhe des Schadens(ersatzes) ermitteln zu können.
Darüber hinaus sei zu klären, ob Art. 88 Abs. 2 DSGVO dahingehend zu deuten ist, dass weitere Vorgaben der DSGVO nicht zu beachten sind. Dies könnte beispielsweise dazu führen, dass in Fällen einer Kollektivvereinbarung die Erforderlichkeit der Verarbeitung nicht zu prüfen wäre. Nach Ansicht des BAG ist allerdings auch neben einer Kollektivvereinbarung von der Geltung spezifischer DSGVO-Normen auszugehen.
Des Weiteren sei ein gerichtlich nur eingeschränkt überprüfbarer Beurteilungsspielraum der Vertragsparteien bei der Beurteilung der Erforderlichkeit wegen der Sachnähe und eines etwaigen Interessensausgleichs durchaus vorstellbar.
Im Hinblick auf Schadensersatzforderung hebt das Gericht hervor, dass seines Erachtens, Betroffene zwar eine eigene Rechtsverletzung darlegen müssen. Ein daraus erwachsender konkreter immaterieller Schaden müsse wiederum nicht dargelegt werden.
Rechtliche Bedeutung für den Datenschutz
Vor diesem Hintergrund ist eine Sache glasklar: Vor allem die Betriebsräte werden mit großer Spannung auf das Ergebnis der Anfrage warten. Wir halten Sie auf dem Laufenden.
Update 02.07.2024:
Am 25.04.2024 (8 AZR 209/21) hat das BAG seinen Vorlagebeschluss in dieser Sache (Beschluss vom 22.09.2022, 8 ZR 209/21 (A)) nun teilweise, nämlich in Bezug auf die Vorlagefragen 4 bis 6, aufgehoben, da die hier behandelten Fragen zu Art und Umfang des Schadensersatzanspruchs gem. Art. 82 DSGVO aufgrund anderer Entscheidungen des EuGH nunmehr geklärt seien. Die Vorlagefragen 1 bis 3 (zu Art. 88 Abs. 1 DSGVO und § 26 Abs. 4 BDSG) hingegen werden weiter aufrecht erhalten.
Wahrscheinlich ist es von niemanden beabsichtigt, aber das Urteil des EuGHs wird zum Ende der Betriebsvereinbarung als Erlaubnistatbestand führen. „It’s time to say goodbye!“ sage ich nur und das ist gut, denn mit der BV werden Rechts von Beschäftigten nicht geschützt, sondern untergraben, wie der dem EuGH vorgelegte Fall beeindruckend veranschaulicht.