Kein Schadensersatz nach DSGVO ohne Schaden

Sachverhalt

In dem vor dem Landesarbeitsgericht im Berufungsverfahren entschiedenen Fall ging es um eine Schadensersatzklage eines Arbeitnehmers, die auf einem vermeintlichen Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) basierte. Der Kläger machte geltend, sein Arbeitgeber habe eine Datenschutzverletzung begangen, indem er personenbezogene Daten der Arbeitnehmer:innen in ein im Testbetrieb befindliches HR-System übermittelte. Diese Übermittlung wurde durch eine Betriebsvereinbarung geregelt, jedoch bezog sich diese ausdrücklich nur auf ausgewählte, nicht hingegen auf alle tatsächlich übermittelten Daten.

Landesarbeitsgericht: Keinen Schaden erlitten

Entgegen der Auffassung des Klägers verneinte das Landesarbeitsgericht den Schadensersatzanspruch mit der Begründung, dass zwar ein DSGVO-Verstoß vorläge, jedoch kein kausaler Schaden erlitten worden sei. Die Übermittlung der personenbezogenen Daten in das noch nicht eingeführte HR-System stelle einen Verstoß gegen Art. 6 Abs. 1 DSGVO dar. Eine Rechtfertigung der Datenverarbeitung sei weder über die DSGVO noch über das Bundesdatenschutzgesetz möglich, da das im Testbetrieb befindliche System offenkundig noch nicht für die Wahrung der berechtigten Interessen erforderlich und nicht von der Betriebsvereinbarung gedeckt sei. Der Schadensbegriff sei weit zu verstehen und erfasse auch immaterielle Schäden, also Schmerzensgeldansprüche u.a. wegen Persönlichkeitsrechtsverletzungen, Kontrollverlust oder Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten. Richtigerweise verwies das Landesarbeitsgericht auch auf die ausstehende Entscheidung des Europäischen Gerichtshofs (EuGH), ob der Schaden eine bestimmte Erheblichkeitsschwelle überschreiten muss. Ein Schaden sei in diesem Fall aber nicht anzunehmen, da der Datentransfer den EU-Standardvertragsklauseln unterliege und die Speicherung der Daten durch ausreichende Maßnahmen gegen Missbrauch gesichert gewesen sei. Der Kläger habe daher weder einen Kontrollverlust noch einen sonstigen immateriellen Schaden erlitten. Die Klage wurde folglich abgewiesen.

Beweislast

Weniger arbeitgeberfreundlich sind die Ausführungen des Landesarbeitsgerichts zu der Beweislast. Entgegen vorangegangener Rechtsprechung bejahte das Landesarbeitsgericht eine Beweislastumkehr für den Datenschutzverstoß und damit eine Abweichung von dem Grundsatz, dass die betroffene Person die anspruchsbegründenden Umstände beweisen muss. Sofern der Arbeitnehmer die Beteiligung des Arbeitgebers an der Verarbeitung nachweise, habe der Arbeitgeber den Beweis darüber zu erbringen, dass ein rechtskonformes Handeln vorlag. Die Rechenschaftspflicht aus Art. 5 Abs. 2, Art. 24 Abs. 1 DSGVO gelte nicht nur im Rahmen öffentlich-rechtlicher Prüfungen, sondern auch im Zivilprozess.

Fazit

Das Urteil stellt eine Erleichterung für Arbeitgeber im grundsätzlich sehr strengen Datenschutzrecht dar. Trotz des sehr weit verstandenen Schadensbegriffs und der nachteiligen Ausführungen zu der Beweislast zeigt sich, dass pauschale Schadensersatzforderungen von Arbeitnehmer:innen keinen Erfolg haben, wenn Arbeitgeber die Datenverarbeitung und konzerninterne Datentransfers so gestalten, dass sie nachweisbar keine Schäden verursachen.