Das LAG Baden-Württemberg entschied in zweiter Instanz, dass kein Anspruch auf Schadensersatz besteht, wenn eine rechtswidrige Drittlandübermittlung vor Gültigkeit der DSGVO erfolgte. Diese wirke nicht auf eine ansonsten rechtmäßige Verarbeitung fort.
Der Inhalt im Überblick
Welcher Sachverhalt lag der Entscheidung zu Grunde?
Die Beklagte leitete Mitarbeiterdaten, über das cloudbasierte Personalinformationsmanagementsystem „Workday“, an ihre Muttergesellschaft mit Sitz in den USA weiter. Der Kläger, Mitarbeiter und Vorsitzender des Betriebsrats bei dem beklagten Unternehmen, verlangte Schadensersatz nach Art. 82 DSGVO, da die im Jahr 2017 erfolgte Datenübermittlung seines Arbeitgebers an die Konzernmutter in den USA und die einhergehende Datenverarbeitung in einem Drittland nach seiner Ansicht zu einem immateriellen Schaden für ihn zur Folge gehabt habe. Als Schaden machte er die permanente Missbrauchsgefahr der Daten durch die Ermittlungsbehörden in den USA bzw. den resultierenden Kontrollverlust über seine Daten geltend.
Am 24. Mai 2018 (ein Tag vor dem Geltungszeitpunkt der DSGVO) schloss die Beklagte ein umfangreiches Vertragswerk zur Gewährleistung des Datenschutzes mit der Muttergesellschaft ab.
Schadensersatz nach Art. 82 DSGVO
Nach Art. 82 Abs. 1 DSGVO hat jede Person Anspruch auf Schadensersatz gegen den Verantwortlichen oder Auftragsverarbeiter, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde, Art. 82 Abs. 2 Satz 1 DSGVO.
Für diesen Anspruch ist eine Kausalität erforderlich. Der Schaden muss also auf der Verletzung der DSGVO durch den Verantwortlichen zumindest (mit-)beruhen. Die Erforderlichkeit der Kausalität soll eine uferlose Haftung verhindern. Das LAG Baden-Württemberg mit Urteil vom 25.2.2021 (17 Sa 37/20) stellte hierzu fest:
„Zudem ist auch unionsrechtlich anerkannt, dass die Kausalitätsprüfung verhindern soll, dass es zu einer uferlosen Schadensersatzpflicht für alle möglichen, noch so entfernten Schäden kommt, für die ein rechtswidriges Verhalten eine Ursache iSe „conditio sine qua non“ gesetzt hat (vgl. zu einer kartellrechtlichen Fragestellung: Kokott Schlussanträge in der Rechtssache – C-557/12 – Rn. 33, 30. Januar 2014, juris). Eine alleinige Kausalität ist aber nicht gefordert, es genügt eine Mitursächlichkeit des Verstoßes für den Schaden, wobei ein hinreichend unmittelbarer Zusammenhang zu fordern ist (vgl. Bergt in: Kühling/Buchner Art. 82 DSGVO Rn. 44 f.) und der Schaden muss für den Schädiger vorhersehbar gewesen sein (vgl. Bergt in: Kühling/Buchner Art. 82 DSGVO Rn. 45).“
Entscheidung des LAG Baden-Württemberg
Das Arbeitsgericht Ulm stellte in erster Instanz noch fest, dass die bloße abstrakte Gefahr, dass in den USA Dritte unbemerkt auf den Server im Rahmen von Ermittlungen zugreifen und der Kläger hiermit später bei einem ungewissen USA-Aufenthalt konfrontiert sein könnte, nicht genüge um einen Schaden anzunehmen.
Das LAG Baden-Württemberg, nahm hier an, dass die Datenübermittlung in Land ohne ausreichendes Datenschutzniveau grundsätzlich ausreicht um einen Schaden anzunehmen.
„Zur Begründung seines immateriellen Schadens macht der Kläger das Folgende geltend: der Kläger habe sich in dem Zeitraum der unzulässigen Nutzung von Workday einer permanenten Missbrauchsgefahr, nicht nur von Ermittlungsbehörden, sondern vor allem der Beklagten selbst bzw. anderen Gesellschaften des D.-Konzerns gegenübergesehen. Die Daten seien zudem in ein Land übermittelt worden, das letztlich keinen wirksamen Schutz von personenbezogenen Daten gegenüber den dortigen Behörden garantiere. Ein Daten-Abfluss führe in jedem Fall zu einem immateriellen Schaden. Auch liege ein Schaden darin, dass sich der Kläger einer Bloßstellung seiner Person gegenüber anderen (unberechtigten) Personen und Institutionen ausgesetzt sah, was umso mehr gelte, als der Kläger über einen verhältnismäßig langen Zeitraum in einen Stand der Unsicherheit versetzt worden sei. Es sei nicht klar, wer in den USA Zugriff auf die Daten des Klägers hatte. Der vom Kläger breit umschriebene Kontrollverlust ist nach dem Vorstehenden – zumal unter Berücksichtigung der Rechtsprechung des Europäischen Gerichtshofs, wonach die USA kein gleichwertiges, angemessenes Datenschutzniveau bieten, weshalb insb. der Angemessenheitsbeschluss (privacy shield) für ungültig erklärt wurde (vgl. EuGH 16. Juli 2020 – C-311/18 – NJW 2020, 2613), grundsätzlich geeignet, einen auszugleichenden immateriellen Schaden zu bilden.“
Der Anspruch scheiterte an der fehlenden Kausalität. Es könne keinen Anknüpfungspunkt für einen Schaden darstellen, dass eine „überschießende Datenübermittlung“ in ein Drittland erfolgte, da zu dem Zeitpunkt der Einführung von Workday die DSGVO noch nicht in Geltung war. Insoweit sei es völlig unerheblich, wie sich das Datenschutzniveau in den USA gestaltete, da jedenfalls die Beklagte nicht für die Datenübermittlung in die USA nach der DSGVO in Anspruch genommen werden könne. Nach Einführung der DSGVO habe die Beklagte alle Erfordernisse der DSGVO eingehalten, um eine sichere Auftragsdatenverarbeitung bei ihrer Konzernmutter zu gewährleisten.
„Es genügt nicht, dass der Schaden durch eine Verarbeitung entstanden ist, in deren Rahmen es (irgendwann) zu einem Rechtsverstoß gekommen ist. Wenn der Schaden „wegen eines Verstoßes gegen diese Verordnung“ entstanden sein muss, kann nicht davon ausgegangen werden, dass bspw. ein Rechtsverstoß bei einer Datenverarbeitung vor dem Geltungszeitpunkt der DSGVO die fortgesetzte Datenverarbeitung „infiziert“ und zu einem Schadensersatzanspruch führt (vgl. Bergt in: Kühling/Buchner Art. 82 DSGVO Rn. 42). Allenfalls dann, wenn durch den Verstoß die gesamte Datenverarbeitung rechtswidrig wird, kann angenommen werden, dass es keiner Zuordnung des Schadens zu einem konkreten Verordnungsverstoß bedarf (vgl. Bergt in: Kühling/Buchner Art. 82 DSGVO aaO).“
Kein Anspruch für eine Verletzung vor Geltung der DSGVO
Der Schadensbegriff ist grundsätzlich weit zu verstehen, so dass die Verletzung des Persönlichkeitsrechts nicht schwerwiegend sein muss, sondern bereits die Möglichkeit über den Kontrollverlust über die Daten ausreichend ist. So führt das LAG BW aus:
„Der Erwägungsgrund 146 Satz 3 führt aus, dass der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden soll, die den Zielen der Verordnung in vollem Umfang entspricht. Der Anspruch soll nach Satz 6 des Erwägungsgrundes 146 sicherstellen, dass die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Das schließt ein, dass Schadensersatzforderungen abschrecken und weitere Verstöße unattraktiv machen sollen (vgl. Bergt in: Kühling/Buchner Art. 82 DSGVO Rn. 17; Paal MMR 2020, 14, 16; Diekmann r+s 2018, 345, 352).“
Eine rechtswidrige Verarbeitung personenbezogener Daten kann jedoch nur einen Schadensersatzanspruch nach Art. 82 DSGVO nach sich ziehen, wenn zum Zeitpunkt der rechtswidrigen Verarbeitung die DSGVO bereits anwendbar war.
Als „Dr. Datenschutz“ sollte man Anwendbarkeit und Inkrafttreten der Datenschutzregularien schon auseinanderhalten können, zumal diese in der DSGVO explizit geregelt wurden. Daher nochmal zur Korrektur:
– Inkrafttreten der DSGVO war, anders als im Artikel genannt, am 25.05.2016 (siehe Art. 99 Abs. 1 DSGVO).
– Anwendbarkeit der DSGVO folgte am 25.05.2018 (siehe Art. 99 Abs. 2 DSGVO)
Vielen Dank für den freundlichen Hinweis. Wir haben die entsprechende Passage angepasst.