Der Fall
Die Beklagte gehörte zu einem internationalen Konzern, der beschlossen hatte, konzernweit eine cloudbasierte HR-Software einzuführen. Um die Software zu testen, stellte die Beklagte Ende April und Mitte Mai 2017 sensible Personaldaten des Klägers der Muttergesellschaft zur Verfügung. Hierbei handelte es sich um folgende Informationen:
- Name,
- Vorname,
- dienstliche Telefonnummer,
- dienstliche E-Mail-Adresse,
- Gehaltsinformationen,
- private Wohnanschrift,
- Geburtsdatum,
- Familienstand,
- Sozialversicherungsnummer und
- Steuer-ID
Erst am 3. Juli 2017 wurde eine vorläufige Betriebsvereinbarung abgeschlossen, die der Beklagten erlaubte, ausschließlich die folgenden personenbezogene Daten der Mitarbeiter zu Testzwecken zu nutzen: Personalnummer, Vor- und Nachnamen, Eintrittsdatum im Konzern, Standort, geschäftliche Telefonnummer und geschäftliche E-Mail-Adresse. Diese vorläufige Betriebsvereinbarung wurde immer wieder bis zum Abschluss der endgültigen Betriebsvereinbarung zur Einführung und Verwendung der HR-Software Anfang 2019 verlängert. Die unterzeichneten Anlagen zur endgültigen Betriebsvereinbarung erhielt der Kläger, der Vorsitzender des Betriebsrats war, erst im März 2019. Es ist anzunehmen, dass die Beklagte zur selben Zeit die nicht in den Betriebsvereinbarungen aufgezählten Daten des Klägers löschte. Der Kläger machte einen immateriellen Schadenersatz gemäß Art. 82 Abs. 1 DS-GVO geltend. Er war der Ansicht, dass die Übermittlung und Verarbeitung seiner Daten, die zunächst ohne Betriebsvereinbarung übermittelt worden und später nicht in den Betriebsvereinbarungen aufgezählt waren, ohne Rechtsgrund erfolgt war. Die Beklagte bestritt einen Verstoß und sah den immateriellen Schaden als nicht erwiesen an. Die Vorinstanzen wiesen die Klage ab.
Die Entscheidung
Das BAG gab dem Kläger auf seine Revision hin Recht und sprach ihm einen Schadensersatz in Höhe von 200,00 € zu. Das BAG führte aus, dass obwohl die Übertragung und Einspeisung der Daten in die neue HR-Software zur Testzwecken vor dem Inkrafttreten der DS-GVO geschah, die Beklagte für deren Verarbeitung auch nach dem Inkrafttreten der DS-GVO verantwortlich blieb. Ihre Einflussnahme auf die Zwecke und Mittel der Verarbeitung der Daten bekräftigte sie nach Ansicht des BAGs mit der Verlängerung der vorläufigen und den Abschluss der endgültigen Betriebsvereinbarung, die nach dem Inkrafttreten der DS-GVO stattfanden.
Die Verarbeitung der streitgegenständlichen Daten könne nicht auf Art. 88 DS-GVO i. V. m. § 26 BDSG gestützt werden, da § 26 BDSG nach Auffassung des BAG – entsprechend der EuGH-Entscheidung vom 30. März 2023 – C-34/21 – nicht die Anforderungen nach Art. 88 DS-GVO erfülle. Laut dem BAG gibt § 26 BDSG lediglich die Bestimmungen nach DS-GVO wieder, ohne neue Inhalte zu regeln oder Schutzmaßnahmen für Arbeitnehmer vorzusehen. In Ermangelung (weiterer) nationaler Spezialgesetze sei im vorliegenden Fall auf die Vorschriften der DS-GVO zurückzugreifen.
Die Verarbeitung von personenbezogenen Daten zu Softwaretestzwecken könne nach Art. 6 Satz 1 lit. f) DS-GVO aufgrund des berechtigten Interesses des Arbeitgebers gerechtfertigt sein, wenn Dummy-Versuchsdaten dafür nicht ausreichen. In dem vorliegenden Fall habe die Beklagte mit dem Abschluss der Betriebsvereinbarungen jedoch zu verstehen gegeben, dass nur die in den Betriebsvereinbarungen aufgezählten Daten für den Test und die Inbetriebnahme der HR-Software erforderlich gewesen wären, nicht aber die zuvor übermittelten Daten. Daneben sei auch der Zweckbindungsgrundsatz aus Art. 5 Abs. 1 lit. b) DS-GVO nicht eingehalten worden, weil die (neue) Datenübermittlung zum Test einer Software nicht dem ursprünglichen Zweck diene, zu dem die Daten erfasst wurden. Der durch das Verhalten der Beklagten resultierende Kontrollverlust über die eigenen Daten rechtfertige einen Schadensersatz.
Praxis-Hinweis
Die Entscheidung des BAG ist in zwei Punkten von besonderem Interesse. Einerseits erlaubt sie Arbeitgebern, bei Tests von HR-Systemen Echtdaten ihrer Mitarbeiter zu verwenden, wenn die Dummy-Versuchsdaten dafür nicht ausreichen. Anderseits schließt sich das BAG der Auffassung des EuGH an und erklärt in aller Deutlichkeit, dass § 26 BDSG als Rechtsgrundlage im Zusammenhang mit der Verarbeitung von Personaldaten nicht (mehr) anwendbar ist, weil die nationale Regelung nur eine Wiederholung des Art. 88 DS-GVO darstellt und seine Anforderungen nicht umsetzt (z. B. Schutzmaßnahmen). In Fällen der Betriebsratsarbeit kann der § 26 BDSG aber weiterhin Anwendung finden (vgl. BAG, Beschluss vom 9. Mai 2023, Az.: 1 ABR 14/22). Der Wegfall von § 26 BDSG als tragfähige Rechtsgrundlage für die Verarbeitung personenbezogener Daten von Mitarbeitern im individualrechtlichen Kontext ist ein Weckruf für alle Arbeitgeber: Datenschutz im Beschäftigungsverhältnis muss neu gedacht und sauber dokumentiert werden – sonst drohen rechtliche und finanzielle Konsequenzen.
Da die kirchlichen Rechtsgrundlagen zur Verarbeitung von Mitarbeiterdaten in § 53 Abs. 1 KDG, § 53 Abs. 1 KDR-OG und § 49 Abs. 1 DSG-EKD im Wesentlichen gleichlautend mit § 26 BDSG sind, dürfte sich – trotz kirchenspezifischer Erweiterung – auch hier die Frage nach der Unanwendbarkeit stellen. Bereits aufgrund der vorangegangenen Entscheidungen von EuGH und BAG wurde auf Bundesebene ein Beschäftigtendatengesetz (BeschDG) ersonnen, dass seit Herbst letzten Jahres als Entwurf vorliegt. Zurzeit liegt es aber offensichtlich auf Eis. Auf kirchlicher Seite wird derzeit ebenfalls an einer differenzierteren Regelung zur Datenverarbeitung von Beschäftigten gearbeitet.
Die Entscheidung hat unserer Ansicht nach in der Praxis Auswirkungen auf alle datenschutzrechtlichen Themen, die § 26 BDSG betreffen, unter anderem:
- Datenschutzinformationen für Mitarbeiter oder Bewerber,
- Verzeichnis der Verarbeitungstätigkeiten,
- Datenschutz-Folgeabschätzungen, in denen der § 26 BDSG erwähnt ist,
- Datenschutz-Handbücher, Konzepte, Verfahrensanweisungen
Wir sind Ihnen bei der Prüfung und Überarbeitung Ihrer Dokumente gerne behilflich.
