Kein immaterieller Schadenersatz bei Datentransfer in USA

Das Landesarbeitsgericht Stuttgart entschied am 25.02.2021, dass einem Mitarbeiter keine Geldentschädigung nach Art. 82 DSGVO durch Datenübermittlung in die USA zustehe, wenn es an einem ohne konkreten Schaden fehle.

Anspruch auf Ersatz des immateriellen Schadens in Höhe von 3.000 Euro?
Der Kläger war Mitarbeiter der Beklagten. Diese gehörte seit mehr als 10 Jahren einem Konzern mit Hauptsitz in den USA. Die Parteien stritten zuletzt noch über einen immateriellen Schadensersatzanspruch im Zusammenhang mit der Übermittlung von personenbezogenen Daten des Klägers an die Konzernmutter. Die Beklagte verarbeitete personenbezogene Daten ihrer Beschäftigten insbesondere zu Abrechnungszwecken mittels SAP-Software. Hierzu schloss der Betriebsrat mit der Beklagten mehrere Betriebsvereinbarungen ab. In SAP speicherte die Beklagte u.a. Gehaltsinformationen, die private Wohnanschrift, Geburtsdatum, Alter, Familienstand, Sozialversicherungsnummer und Steuer-ID. Die Beklagte plante, ein cloudbasiertes Personalinformationsmanagementsystem namens Workday einzuführen. Der Kläger forderte die Klägerin auf, Auskunft über alle zu seiner Person gespeicherten Daten zu geben (noch vor Einführung der DSGVO gem. BDSG). Dieses Auskunftsverlangen führte der Kläger mit seiner Klage weiter. Im Verlauf des Rechtsstreits ergab sich, dass die Beklagte im Frühjahr 2017 aus SAP personenbezogene Daten des Klägers auf eine Sharepoint-Seite des Konzerns übermittelte. Mit diesen Daten sollte Workday befüllt werden. Unter anderen gehörten dazu auch Gehaltsinformationen (Jahres- und Monatsgehalt, Umfang leistungsabhängiger Vergütung), private Wohnanschrift, Geburtsdatum, Alter, Familienstand, Sozialversicherungsnummer und Steuer-ID. Die Beklagte und der Betriebsrat vereinbarten 2017 eine „Duldungs-Betriebsvereinbarung über die Einführung von Workday“. Anfang 2018 erteilte die Beklagte Auskunft zu in Workday gespeicherten Daten. Diese erachtete der Kläger jedoch als ungenügend. Am 24. Mai 2018 und damit einen Tag vor dem Geltungszeitpunkt der Datenschutzgrundverordnung (DSGVO) unterzeichnete die Beklagte mit ihrer Konzernmutter ein umfangreiches Vertragswerk zur Gewährleistung des Datenschutzes. Der Kläger machte nach Einführung der DSGVO weitere Auskunftsverlangen geltend. Anfang 2019 einigten sich Betriebsrat und Beklagte auf die „Rahmenbetriebsvereinbarung zum Betrieb von IT Systemen“ und auf die „Betriebsvereinbarung zur Einführung und Verwendung von Workday“. Nach Geltung der BV Workday bzw. der BV IT hatte die Beklagte die Daten des Klägers gelöscht, die sie unerlaubterweise in Workday gespeichert hatte (Bsp. Steuer-ID). Soweit noch von Interesse machte der Kläger erstinstanzlich geltend, die Beklagte sei datenschutzrechtlich nicht befugt gewesen, personenbezogene Daten des Klägers in das System Workday auf eine dem Mutterkonzern gehörende Sharepoint-Seite in die USA zu übertragen. Daher stehe ihm ein Anspruch auf Ersatz des immateriellen Schadens in Höhe von 3.000 Euro zu. Die Vorinstanz wies das Schadensersatzbegehren ab. Daher ging der Kläger in Berufung.

Kein Verstoß gegen DSGVO nachgewiesen
Das Landesarbeitsgericht Stuttgart befand die Klage als unbegründet. Dem Kläger stehe kein Anspruch auf Ersatz eines immateriellen Schadens im Zusammenhang mit der Datenübermittlung in die USA nach Art. 82 DSGVO zu. Denn die Voraussetzungen für eine Schadensersatzverpflichtung lägen nicht vor. Zwar habe nach Art. 82 Abs. 1 DSGVO jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden sei, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsdatenverarbeiter. Jeder an einer Verarbeitung beteiligte Verantwortliche hafte für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde, Art. 82 Abs. 2 Satz 1 DSGVO. Dem Kläger sei es aber nicht gelungen darzulegen, dass die Beklagte bei der Datenverarbeitung gegen DSGVO-Vorschriften verstoßen habe, die kausal für einen Schaden gewesen seien.

Kläger ist zwar betroffene Person
Zwar sei der Kläger nach Art. 82 Abs. 1 DSGVO Anspruchsberechtigter, so das Gericht. Die DSGVO enthalte Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. Unstreitig seien personenbezogene Daten des Klägers verarbeitet worden. Er sei somit „betroffene Person“ iSd DSGVO und gehöre in jedem Fall zum anspruchsberechtigten Personenkreis.

Datenschutzrechtliche Handlungen sind Arbeitgeber zuzurechnen
Das LAG entschied, dass die Beklagte auch mögliches Haftungssubjekt des geltend gemachten Anspruchs sei. Die Beklagte sei Verantwortliche nach Art. 4 Nr. 7 DSGVO. Als juristische Person und Arbeitgeberin verarbeite sie personenbezogene Daten der bei ihr beschäftigten Arbeitnehmer. Sie entscheide über die Zwecke und Mittel der Verarbeitung personenbezogener Daten. Ihr seien daher die datenschutzrechtlichen Handlungen innerhalb ihrer Organisation zuzurechnen.

Keine Kausalität zwischen Verstoß und Schaden
Gleichwohl stehe dem Kläger ein Anspruch auf Ersatz des geltend gemachten immateriellen Schadens nicht zu, so das Gericht weiter. Denn der Schaden sei nicht dem festgestellten Verstoß zuzuordnen bzw. tatsächlich nicht eingetreten. Ein Verstoß müsse für den Schaden kausal sein und gerade durch den Rechtsverstoß entstanden sein. Es genüge nicht, dass der Schaden durch eine Verarbeitung entstanden sei, in deren Rahmen es (irgendwann) zu einem Rechtsverstoß gekommen sei.

Datenübermittlung fand vor Geltung der DSGVO statt
Das LAG urteilte, der Kläger habe durch den Verstoß keinen immateriellen Schaden erlitten. Kein Anknüpfungspunkt für den Schaden könne der Datentransfer auf die Sharepoint-Seite der Beklagten sein. Denn diese Datenübermittlung habe vor Geltung der DSGVO stattgefunden. Insoweit sei es völlig unerheblich, wie sich das Datenschutzniveau in den USA gestalte. Jedenfalls könne die Beklagte nicht für die Datenübermittlung in die USA nach der DSGVO in Anspruch genommen werden. Somit habe die Beklagte nicht gegen Art. 44 ff. DSGVO verstoßen. Jedwede Begründung eines Schadens mit der Datenübermittlung in die USA könne einem DSGVO-Verstoß nicht zugeordnet werden.

Auftragsdatenverarbeitung beruhte auf vertraglicher Grundlage
Auch könne nicht Anknüpfungspunkt sein, dass die Beklagte ab Geltung der DSGVO (25. Mai 2018) als Verantwortliche personenbezogene Daten bei ihrer Konzernmutter als Auftragsdatenverarbeiterin hat speichern lassen. Die Auftragsdatenverarbeitung erfolgte auf einer ausreichenden vertraglichen Grundlage. Dies entspreche Art. 46 Abs. 2 Buchst. c, Abs. 5 DSGVO. Die Beklagte habe auch nicht gegen Art. 28 DSGVO verstoßen. Eine behauptete permanente Unsicherheit, dass „unbefugte Dritte“ auf Klägerdaten Zugriff nehmen, könne keinem Verstoß gegen die DSGVO zugeordnet werden. Die Beklagte habe alle Erfordernisse der DSGVO eingehalten, um eine sichere Auftragsdatenverarbeitung bei ihrer Konzernmutter zu gewährleisten.

Überschießende Datenverarbeitung vor Einführung von Workday
Einzig feststellbarer Verstoß sei die überschießende Datenverarbeitung in Workday vor Einführung von Workday, befand das LAG. Allerdings beziehe sich diese Datenverarbeitung auf Daten, welche die Beklagte rechtmäßig in SAP - auf der Grundlage einer Betriebsvereinbarung – verarbeitet habe. Die Datenverarbeitung in Workday sei nur deshalb nicht rechtmäßig, weil Workday bis zur Einführung nicht produktiv genutzt worden sei. Daher habe es an der Erforderlichkeit der Datenverarbeitung iSv. § 26 Abs. 1 BDSG bzw. noch an einer Betriebsvereinbarung zur Einführung gefehlt. Die Beklagte habe daher der abgeschlossenen Duldungs-Betriebsvereinbarung bedurft, um die nicht erforderliche Datenverarbeitung zu den vereinbarten Testzwecken zu legitimieren. Die Duldungs-BV habe zur Datenverarbeitung der vereinbarten Datenkategorien berechtigt. Nicht habe sie dazu berechtigt, auch nicht genannte Daten wie Jahresgehalt, Monatsgehalt, Umfang leistungsabhängiger Vergütung, private Wohnanschrift des Klägers, dessen Geburtsdatum, Alter, Familienstand, Sozialversicherungsnummer und Steuer-ID zu verarbeiten. Allerdings habe die Beklagte diese Daten wiederum außerhalb der Plattform Workday in SAP zu anderen Zwecken verarbeiten dürfen. Denn die Verarbeitung dieser Daten sei zur Durchführung des Beschäftigungsverhältnisses erforderlich gewesen.

Kein Schaden ersichtlich
Das Gericht befand, einen erlittenen Schaden, der allein auf der überschießenden Datenverarbeitung in Workday oder für die (Test-)Zwecke von Workday fuße, mache der Kläger nicht geltend. Somit sei ein solcher Schaden auch nicht ersichtlich. Vielmehr liege insoweit nur ein Verordnungsverstoß ohne zuordenbaren Schaden vor. Eine Nutzung der überschießend gespeicherten Daten für andere als die normierten Testzwecke iSd Duldungs-BV sei nicht ersichtlich. Allein der Umstand, dass Jahresgehalt, Monatsgehalt, Wohnanschrift, Geburtsdatum, Sozialversicherungsnummer etc. auch in Workday gespeichert seien und zu Testzwecken verarbeitet werden, löse keinen Schaden aus. Auch der Kläger habe einen solchen Schaden nicht behauptet. Die Speicherung der Daten in Workday bei der Konzernmutter stelle keinen Datenabfluss dar. Vielmehr erfolge sie auf Grundlage einer rechtmäßigen Auftragsverarbeitung. Auch wenn die Daten in Workday überschießend im Rahmen einer Auftragsdatenverarbeitung verarbeitet worden seien, so habe die Beklagte doch alle Erfordernisse der DSGVO eingehalten. Die Sicherheit der Daten bei der Konzernmutter sei sichergestellt gewesen. Aus den vertraglichen Garantien ergebe sich, dass sämtliche Konzernunternehmen die Bestimmungen des GDPA einhalten. Es sei versucht worden, jedweden Datenmissbrauch auszuschließen. Auch ein Kontrollverlust sei nicht ersichtlich, da die getroffenen Vereinbarungen gerade sicherstellen, dass dem Kläger alle Rechte im Rahmen einer Auftragsverarbeitung zustehen. Der Kläger habe seine Daten daher auch löschen lassen können. Insoweit habe er seine Daten kontrollieren können.

Landesarbeitsgericht Stuttgart, Urteil vom 25.02.2021, Az. 17 Sa 37/20