Landesarbeitsgericht Baden-Württemberg, Beschluss vom 31.03.2021, AZ 17 Sa 37/20

Ausgabe: 04-2021

1. Werden personenbezogene Daten von Beschäftigten über den 24. Mai 2018 hinaus verarbeitet (gespeichert), ist dies ab dem 25. Mai 2018 am Maßstab der DSGVO zu messen.

2. Erfolgt die Verarbeitung/Speicherung der personenbezogenen Daten von Beschäftigten, zum Zwecke, ein (noch) nicht produktiv genutztes, später noch konzernweit einzuführendes cloudbasiertes Personalinformationsmanagementsystem zu testen, scheidet § 26 Abs. 1 BDSG wie auch Art. 6 Abs. 1 Buchst. f DSGVO als Rechtsgrundlage der Verarbeitung mangels Erforderlichkeit aus. Als Rechtsgrundlage einer Datenverarbeitung kommt in diesem Fall als Kollektivvereinbarung iSv. § 26 Abs. 4 BDSG eine Betriebsvereinbarung in Betracht.

3. Bestimmt die Betriebsvereinbarung für die vorübergehende Nutzung des Personalinformationsmanagementsystems die Kategorien der vorübergehend nutzbaren Daten, ist die Verarbeitung anderer personenbezogener Daten rechtswidrig.

4. Wurden die personenbezogenen Daten von Beschäftigten vor dem 25. Mai 2018 an die Konzernmutter in ein Drittland (USA) übermittelt, liegt kein Verstoß des die Daten übermittelnden Arbeitgebers als Verantwortlicher gegen die Bestimmungen des V. Kapitels der DSGVO (Art. 44 ff. DSGVO) vor.

5. Hat der Arbeitgeber als Verantwortlicher mit der Konzernmutter als Auftragsverarbeiter vor dem 25. Mai 2018 Standardvertragsklauseln auf der Grundlage des Anhangs des Beschlusses der Kommission vom 5. Februar 2010 (2010/87/EU) vereinbart und diese Standardvertragsklauseln durch Anhänge und weitere Vertragswerke um die Inhalte des Art. 28 Abs. 3 DSGVO ergänzt, liegt seitens des verantwortlichen Arbeitgebers kein Verstoß gegen Art. 28 DSGVO vor.

6. Verlangt ein Beschäftigter wegen der überschießenden Datenverarbeitung durch die Konzernmutter in den USA vom verantwortlichen Arbeitgeber nach Art. 82 Abs. 1, 2 DSGVO immateriellen Schadensersatz und macht er als immateriellen Schaden die Gefahr eines Missbrauchs der Daten durch Ermittlungsbehörden in den USA oder andere Konzerngesellschaften bzw. einen Kontrollverlust geltend, kommen diese Umstände grundsätzlich zur Begründung eines immateriellen Schadens iSv. Art. 82 DSGVO in Betracht. Für eine Haftung des Arbeitgebers ist jedoch zusätzlich erforderlich, dass der Schaden „wegen eines Verstoßes“ gegen die DSGVO entstanden ist, dh. einem Verordnungsverstoß zugeordnet werden kann (Kausalität). Daran fehlt es, wenn der Arbeitgeber weder gegen die Bestimmungen des V. Kapitels der DSGVO noch gegen Art. 28 DSGVO verstoßen hat. Der verbleibende Verstoß gegen § 26 Abs. 4 BDSG iVm. den Bestimmungen der Betriebsvereinbarung löst allein keinen Schadensersatzanspruch nach Art. 82 DSGVO aus.

Weitere Informationen: http://lrbw.juris.de/cgi-bin/laender_rechtsprec…