Ein geradezu episch geratenes Urteil des Landesarbeitsgerichts Baden-Württemberg vom 25.02.2021 setzt sich mit immateriellen Schadensersatzansprüchen auseinander:
Die Gefahr eines Datenmissbrauchs durch z.B. US-Ermittlungsbehörden kann einen Schadensersatzanspruch begründen. Ein immaterieller Schaden kann schon in dem unguten Gefühl liegen, dass personenbezogene Daten Unbefugten bekannt geworden sind, wenn nicht ausgeschlossen werden kann, dass die Daten unbefugt weiterverwendet werden.
Allerdings reicht ein bloßer DSGVO-Verstoß nicht aus. Er muss für den Schaden auch kausal sein, d.h. der Schaden muss gerade durch den Rechtsverstoß entstanden sein. Dass im Rahmen einer Datenverarbeitung irgendwann ein Rechtsverstoß stattgefunden hat, genügt nicht. Ein Verstoß vor der Geltung der DSGVO z.B. „infiziert“ die nachgelagerte Datenverarbeitung nicht.
Leitsatz 6 (Auszug):
Verlangt ein Beschäftigter wegen der überschießenden Datenverarbeitung durch die Konzernmutter in den USA vom verantwortlichen Arbeitgeber nach Art. 82 Abs. 1, 2 DSGVO immateriellen Schadensersatz und macht er als immateriellen Schaden die Gefahr eines Missbrauchs der Daten durch Ermittlungsbehörden in den USA oder andere Konzerngesellschaften bzw. einen Kontrollverlust geltend, kommen diese Umstände grundsätzlich zur Begründung eines immateriellen Schadens iSv. Art. 82 DSGVO in Betracht. Für eine Haftung des Arbeitgebers ist jedoch zusätzlich erforderlich, dass der Schaden „wegen eines Verstoßes“ gegen die DSGVO entstanden ist, d.h. einem Verordnungsverstoß zugeordnet werden kann (Kausalität).
Hintergrund
Die deutsche Tochtergesellschaft eines US-Konzerns hatte im Vorfeld einer konzernweiten, rechtskonform umgesetzen Einführung des Personalinformationsmanagementsystem Workday zunächst zu Testzwecken Echtdaten von Mitarbeitenden auf Servern in den USA gespeichert. Die Daten – u.a. Gehalt, leistungsabhängige Vergütungsbestandteile, private Wohnanschrift, Geburtsdatum, Familienstand, Sozialversicherungsnummer und die Steuer-ID – waren eine zeitlang auf dem Testsystem verblieben.
Dem Urteil ist zu entnehmen, dass es bei dem komplexen Vorhaben zu einem Datenschutzverstoß gekommen war, nämlich zu einer überschießenden Datenverarbeitung mit Echtdaten aus der Testphase vor der offiziellen produktiven Nutzung von Workday. Rn. 103 (farbliche Hervorhebung durch den Verfasser):
Der einzige Verstoß, welcher der Beklagten vorzuhalten ist, ist die überschießende Datenverarbeitung in Workday vor Einführung von Workday (durch die BV Workday vom 23. Januar 2019), wobei sich diese Datenverarbeitung in Workday auf Daten bezieht, welche die Beklagte rechtmäßig in SAP – auf der Grundlage einer Betriebsvereinbarung zur Nutzung von SAP – bzw. sonst rechtmäßig nach § 26 BDSG zu anderen Zwecken verarbeitete. Die Datenverarbeitung in Workday war nur deshalb nicht rechtmäßig, weil Workday bis zur Einführung nicht produktiv genutzt wurde und es deshalb an der Erforderlichkeit der Datenverarbeitung iSv. § 26 Abs. 1 BDSG bzw. noch an einer Betriebsvereinbarung zur Einführung fehlte.
Ein Mitarbeiter machte Schadensersatz geltend, weil er sich durch „die Übermittlung der sensiblen Daten […] an unbefugte Dritte und der damit verbundenen Missbrauchsgefahr“ schwer in seinem Persönlichkeitsrecht verletzt sah. Der immaterielle Schaden könne auch darin liegen, dass er in einen Stand der Unsicherheit versetzt werde, weil er nicht wisse, auf welche Weise und zu welchem Zweck seine unrechtmäßig übermittelten Daten verarbeitet worden seien.
Die Klage blieb mangels Kauslität (s.o.) erfolglos.
Für Genießer
Rn. 95-99 des Urteils (Hervorhebungen auch hier durch den Verfasser):
d) Das Vorbringen des Klägers ist grundsätzlich geeignet, einen immateriellen Schaden iSv. Art. 82 DSGVO darzulegen.
aa) Der Erwägungsgrund 146 Satz 3 führt aus, dass der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden soll, die den Zielen der Verordnung in vollem Umfang entspricht. Der Anspruch soll nach Satz 6 des Erwägungsgrundes 146 sicherstellen, dass die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Das schließt ein, dass Schadensersatzforderungen abschrecken und weitere Verstöße unattraktiv machen sollen […]. Der Begriff des Schadens in Art. 82 DSGVO ist autonom auszulegen, dh. es kommt nicht darauf an, ob ein bestimmter Schaden nach nationalem Recht als Schaden angesehen werden könnte […]. Allerdings muss der Schaden „erlitten“ (Erwägungsgrund 146) worden, also tatsächlich entstanden sein und darf nicht lediglich befürchtet werden (vgl. Frenzel in: Paal/Pauly Art. 82 DSGVO Rn. 10; Klein GRUR-Prax 2020, 433). Der bloße Verstoß gegen eine Bestimmung der DSGVO reicht daher nicht aus […]. Mit Geltung des Art. 82 DSGVO ist es aber nicht mehr vertretbar, einen immateriellen Schadensersatz nur bei einer schwerwiegenden Persönlichkeitsrechtsverletzung anzunehmen […]. So findet sich auch in den Erwägungsgründen kein Hinweis darauf, dass geringfügige Schäden (Bagatellschäden) nicht auszugleichen wäre. Vielmehr sieht Erwägungsgrund 148 Satz 2 vor, dass (ausnahmsweise) bei geringfügigen Verstößen auf die Verhängung einer Geldbuße verzichtet werden kann. Deshalb kann ein Schaden auch bereits in einem unguten Gefühl liegen, dass personenbezogene Daten Unbefugten bekannt geworden sind, wenn nicht ausgeschlossen werden kann, dass die Daten unbefugt weiterverwendet werden. Der Erwägungsgrund 75 führt als mögliche Schäden etwa Diskriminierungen, ein Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteile, aber auch den Verlust, die personenbezogenen Daten kontrollieren zu können, auf […]. Der Kontrollverlust kann in diesem Zusammenhang nur einen immateriellen Schaden meinen […]. Bei der Bestimmung des immateriellen Schadens kann ua. auch der Wert der Daten und ihre Nutzung und ihre Nutzung aus Sicht des Verantwortlichen abgestellt werden, insb. in Fällen, in denen die personenbezogenen Daten des Betroffenen kommerzialisiert werden und sich der Verantwortliche bewusst über die Interessen des Betroffenen hinwegsetzt, um eigene Erwerbsinteressen durchzusetzen […].
bb) Zur Begründung seines immateriellen Schadens macht der Kläger das Folgende geltend: der Kläger habe sich in dem Zeitraum der unzulässigen Nutzung von Workday einer permanenten Missbrauchsgefahr, nicht nur von Ermittlungsbehörden, sondern vor allem der Beklagten selbst bzw. anderen Gesellschaften des D.-Konzerns gegenübergesehen. Die Daten seien zudem in ein Land übermittelt worden, das letztlich keinen wirksamen Schutz von personenbezogenen Daten gegenüber den dortigen Behörden garantiere. Ein Daten-Abfluss führe in jedem Fall zu einem immateriellen Schaden. Auch liege ein Schaden darin, dass sich der Kläger einer Bloßstellung seiner Person gegenüber anderen (unberechtigten) Personen und Institutionen ausgesetzt sah, was umso mehr gelte, als der Kläger über einen verhältnismäßig langen Zeitraum in einen Stand der Unsicherheit versetzt worden sei. Es sei nicht klar, wer in den USA Zugriff auf die Daten des Klägers hatte. Der vom Kläger breit umschriebene Kontrollverlust ist nach dem Vorstehenden – zumal unter Berücksichtigung der Rechtsprechung des Europäischen Gerichtshofs, wonach die USA kein gleichwertiges, angemessenes Datenschutzniveau bieten, weshalb insb. der Angemessenheitsbeschluss (privacy shield) für ungültig erklärt wurde (vgl. EuGH 16. Juli 2020 – C-311/18 – NJW 2020, 2613), grundsätzlich geeignet, einen auszugleichenden immateriellen Schaden zu bilden.
e) Gleichwohl steht dem Kläger ein Anspruch auf Ersatz des von ihm geltend gemachten immateriellen Schadens deshalb nicht zu, weil der vom Kläger geltend gemachte Schaden nicht dem festgestellten Verordnungsverstoß zugeordnet werden kann bzw. tatsächlich nicht eingetreten ist, dh. nicht „erlitten“ wurde.
aa) Der Verstoß muss für den Schaden kausal sein. Der Schaden muss gerade durch den Rechtsverstoß entstanden sein. Es genügt nicht, dass der Schaden durch eine Verarbeitung entstanden ist, in deren Rahmen es (irgendwann) zu einem Rechtsverstoß gekommen ist. Wenn der Schaden „wegen eines Verstoßes gegen diese Verordnung“ entstanden sein muss, kann nicht davon ausgegangen werden, dass bspw. ein Rechtsverstoß bei einer Datenverarbeitung vor dem Geltungszeitpunkt der DSGVO die fortgesetzte Datenverarbeitung „infiziert“ und zu einem Schadensersatzanspruch führt […]. Allenfalls dann, wenn durch den Verstoß die gesamte Datenverarbeitung rechtswidrig wird, kann angenommen werden, dass es keiner Zuordnung des Schadens zu einem konkreten Verordnungsverstoß bedarf (vgl. Bergt in: Kühling/Buchner Art. 82 DSGVO aaO). Zudem ist auch unionsrechtlich anerkannt, dass die Kausalitätsprüfung verhindern soll, dass es zu einer uferlosen Schadensersatzpflicht für alle möglichen, noch so entfernten Schäden kommt, für die ein rechtswidriges Verhalten eine Ursache iSe „conditio sine qua non“ gesetzt hat […]. Eine alleinige Kausalität ist aber nicht gefordert, es genügt eine Mitursächlichkeit des Verstoßes für den Schaden, wobei ein hinreichend unmittelbarer Zusammenhang zu fordern ist […] und der Schaden muss für den Schädiger vorhersehbar gewesen sein […].
LArbG Baden-Württemberg, Urteil vom 25.02.2021, Az. 17 Sa 37/20